Nuova ondata di cyber attacchi in Italia per diffondere il malware Ursnif

Italia Yoroi Trendmicro Thread Phishing Botnet Certpa Sentenzelegali Trojanbancario Botnet Necurs Ursnif Malware Cybercrime Malspam Botnet Necurs Cybersecurity Cyberattacchi Sicurezzainformatica Microsoftword Phishing

Yoroi: nuova ondata di cyber attacchi contro organizzazioni e utenti in Italia. L’obiettivo è sempre lo stesso: diffondere il malware Urnisf, un trojan bancario

Nuova ondata di cyber attacchi a organizzazioni e utenti in Italia per diffondere il malware Ursnif. Lo hanno scoperto gli esperti di cyber security di Yoroi -Cybaze ZLab. La campagna malspam è caratterizzata da messaggi di posta elettronica fraudolenti. Questi, infatti, al loro interno contengono link, il cui obiettivo è far aprire alla vittima archivi compressi dal nome “Nuovo documento 1.zip”. All’interno del file è presente uno script vbs, in grado di scaricare e installare un malware della famiglia Ursnif, un trojan bancario capace di catturare ed esfiltrare credenziali, intercettare sessioni web e digitazioni, fornire accesso backdoor agli host infetti. Gli attacchi hacker di con questo codice malevolo contro obiettivi nel nostro paese sono cominciati a giugno del 2018 e finora non si sono mai interrotti. Hanno solo avuto ondate diverse.

Qualcuno da giugno ha preso di mira specificatamente l’Italia in modo persistente. Gli attacchi hacker nel tempo hanno cambiato esche e tecniche. Ma l’obiettivo è sempre lo stesso: infettare le vittime con il malware

Nel tempo i cyber criminali hanno cambiato le esche della campagna malspam (nomi dei file, presunti mittenti e intestazioni dei messaggi), ma mai il malware: Ursnif. Peraltro, per cercare di diffondere il trojan bancario, hanno anche impiegato tecniche diverse come la steganografia. Questa in origine è nata per nascondere la comunicazione tra due interlocutori. In ambito di cyber security, invece, è applicata – tra le altre cose – per nascondere messaggi all’interno dei bit più bassi di immagini o audio e informazioni all’interno di dati crittografati o casuali. In relazione alla campagna Ursnif, è stata usata per il recupero del codice malevolo tramite i valori dei pixel delle prime tre righe dell’immagine. Peraltro, gli attori malevoli puntano a colpire esclusivamente sistemi, basati su Microsoft Windows, che utilizzano impostazioni in lingua italiana. Da qui la conferma che gli attacchi hacker sono diretti proprio contro bersagli del nostro paese.

L’analisi di Yoroi con gli Indicatori di compromissione