È stata individuata una nuova variante del malware Ursnif che, come già successo in passato, sta prendendo di mira principalmente aziende e pubbliche amministrazioni.
Il metodo di infezione di Ursnif è sempre lo stesso: messaggi di posta elettronica che fanno riferimento a finte fatture da saldare. Rispetto alle precedenti versioni del malware, le e-mail risultano ora scritte in perfetto italiano e utilizzano tecniche di spoofing per falsificare il mittente e renderlo credibile in modo da trarre più facilmente in inganno le vittime.
Indice degli argomenti
Malware Ursnif: i dettagli della nuova variante
L’analisi dei campioni di e-mail malevoli isolate dagli analisti del CERT-PA evidenzia che il file in allegato è un finto documento Excel denominato Allegato Documento 420 FATT. PAGANO.xls.
Nel momento in cui la potenziale vittima apre il file allegato, viene esortata ad abilitare le macro: questa operazione consente al malware di avviare la catena infettiva che si conclude con l’esecuzione del payload di Ursnif che, come nelle precedenti varianti, è una DLL che viene eseguita con le stesse modalità della variante identificata lo scorso mese di giugno e indicate nel bollettino di analisi pubblicato dal CERT-PA.
La campagna di diffusione della nuova variante di Ursnif, inoltre, sembra essere stata concepita per colpire esclusivamente durante il mese di luglio. Il codice della macro VBA, infatti, è scritto in modo da attivare l’infezione della macchina esclusivamente se il mese corrente contiene due L nel nome (com’è, per l’appunto, nel caso del mese di luglio).
Gli analisti del CERT-PA, inoltre, hanno scoperto che il file del malware scaricato dal dropper nascosto nel file XLS infetto allegato alle e-mail malevoli viene decodificato utilizzando un algoritmo più complesso rispetto alle precedenti varianti di Ursnif.
Analogamente al passato, i criminal hacker hanno utilizzato una particolare tecnica di creazione per cercare di nascondere il documento Excel ai controlli di un eventuale antivirus. In pratica, le righe di separazione e le intestazioni delle celle sono state “nascoste” usando il colore del testo bianco su sfondo bianco. L’unico modo per analizzare il contenuto delle celle è quello di evidenziare queste ultime per veder comparire il testo nella barra delle formule di Excel. Così facendo, si scoprono i comandi PowerShell eseguiti dalle macro VBA.
La nuova variante di Ursnif di differenzia dalle precedenti per una curiosità che sembra più che altro una presa in giro per gli analisti di sicurezza.
A quanto pare, infatti, i criminal hacker ideatori della nuova variante di Ursnif conoscono le vulnerabilità presenti nel software per la gestione del server di comando e controllo (C&C) del malware e sono consapevoli del fatto che gli analisti sarebbero riusciti presto ad identificarne l’indirizzo.
Nel momento in cui provano ad accedere al pannello di controllo del server, però, vengono “accolti” da un messaggio molto esplicito visualizzato nel form di autenticazione: “Fuck OFF”.
I consigli per difendersi dagli attacchi del malware
Per fortuna, gli analisti del CERT-PA sono riusciti ad indicare gli indici di compromissione (IoC) del malware, che possono tornare utili ai sistemisti e ai responsabili della sicurezza IT delle aziende per allestire le corrette linee di difesa per bloccare ogni tentativo di attacco da parte di Ursnif:
URL
- https://outlowupdt.info/gallery.php?
Domini
- http://1298367542.xyz
- https://outlowupdt.info
SHA1
- a3782c7dc675ed2ed5f0b20f69b3e93e26cd49a7
- 949f1f1f17f62e9e2e9e9817852cbe7fbafedd5b
- ef28539d72eab0925761a34b50e9a3fef50a6a7d
MD5
- 10a33366928f8d9cd9d084814df4fb46
- 58e489c20b0900aa7dd555a616cdf7a0
- 9f307e6620a1e595f728b541beaf7106
SHA256
- ea238ae82c3b033b96de0577abfac4fb7863a66a567e762d6b029147e08da2a4
- d68deaaa0cdba9d85bf3a5856d0f2ed3ed67a20b07589f49d5cba49e0de49260
- 339220c75d314e02135edde846aa77cee9f464a51a4a3d057c8d9f3bcdd8641c
Per difendersi dal malware Ursnif è possibile seguire alcune regole di buon senso:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle e-mail, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
