Una nuova variante del malware Ursnif si sta diffondendo mediante una massiccia campagna di malspam che sta colpendo aziende e pubbliche amministrazioni italiane.
I testi delle e-mail simulano l’invio di una fattura elettronica: in realtà, in allegato vengono distribuiti documenti Excel malevoli che nascondono una copia del malware in grado di intercettare tutto quello che l’utente digita sulla tastiera, trafugare le password salvate e alterare la navigazione Web utente.
Indice degli argomenti
Ursnif, il malware della fattura elettronica: l’analisi tecnica
In particolare, le e-mail fraudolente che stanno diffondendo la nuova variante del malware Ursnif possono avere uno di questi oggetti:
- Doc. n 2392
- Doc. n 5841
- FATTURA/DOC 04/2019
- I: FATTURA 130
- Invio per posta elettronica
- modificare
- ricevuto il pagamento
- Conferma ordine
- Fattura differita ()
- I: sollecito ft 169
- I: sollecito ft 810
mentre gli allegati potrebbero avere uno di questi nomi:
- Doc. n 3149-0.19 del 23-04-2019 CL 5042.xls
- F67_RICHIESTA_AVVISO_Conferma_179750_0000_n._3.2019_All._n._1_File_excel.xls
- f27-RICHIESTA.AVVISO-Conferma-126294-0000.n.03.2019-All.n.1_File-excel-.xls
Anche in questo caso, la particolarità dei contenuti dei fogli Excel è che sono stati realizzati per colpire espressamente le utenze italiane.
Vecchie varianti del malware Ursnif ancora attive
È importante osservare, comunque, che le precedenti varianti del malware Ursnif sono ancora attive e continuano a colpire con la loro catena infettiva.
In alcuni casi, il malware della fattura elettronica utilizza una sofisticata tecnica steganografica per reperire il codice PowerShell malevolo necessario per eseguire le sue operazioni malevoli.
La steganografia, lo ricordiamo, è un’antica tecnica utilizzata per camuffare le comunicazioni, prevalentemente di tipo militare, tra due interlocutori. In campo informatico, questa tecnica è stata adattata per nascondere informazioni all’interno di un file che può essere un documento, un’immagine o un file audio. L’header di questi file non viene ovviamente compromesso, consentendone la normale visualizzazione mediante un editor di testo, un visualizzatore di immagini o un player multimediale; ma con un apposito scanner (il più delle volte si tratta di un semplice editor esadecimale capace di visualizzare il codice sorgente dei file) è possibile “leggere” le sequenze di bit che contengono le informazioni nascoste.
Ursnif, il malware della fattura elettronica fa proprio questo. Analizzando il codice dell’e-mail fraudolenta si nota, infatti, un’immagine apparentemente innocua di Super Mario, il famoso personaggio dei videogiochi. In realtà, le prime righe del codice binario di questa immagine nascondono proprio le istruzioni per avviare la catena infettiva che il malware riesce ad intercettare e “leggere” dopo aver eseguito una scansione dell’immagine stessa. Il problema è che, a volte, queste immagini sono così piccole da passare inosservate ad un occhio distratto, magari perché la vittima è presa dai mille impegni lavorativi.
Ottenute le istruzioni necessarie per compiere la sua azione infettiva, il malware attende solo che l’ignara vittima apra il foglio elettronico in allegato all’email fraudolenta per installarsi nel suo computer, rubare informazioni personali e attivare una backdoor che può consentire ai criminal hacker l’accesso da remoto del PC.
Ursnif: come riconoscere le vecchie varianti
Come per la variante attualmente in circolazione, è possibile riconoscere le “vecchie” versioni del malware Ursnif prestando molta attenzione all’oggetto delle e-mail fraudolenti e ai loro allegati. Nel caso dell’oggetto, potrebbe essere uno dei seguenti:
- “I: Fattura corretta”
- “I: Obbligo fatturazione dal 1° Gennaio 2019”
- “R: SCADUTO”
- “Avv. scad.”
- “fattura in scadenza”
- “I: AVVISO DI PAGAMENTO”
- “I: bonifico ricevuto in data odierna”
- “NS.ORDINE NR.0030961 DEL 30/01/19”
Gli altri indici di compromissione (IoC) delle precedenti varianti del malware Ursnif sono invece i seguenti:
allegati:
- “DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
- “DEL_2019_01_S.R.L._N__183382.XLS”
- “F.DOC.2019 A 113 SPA.xls”
dropurl:
- hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
- hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
- hxxps:// fillialopago[.info////////~DF2F63
command& control server C2 (Ursnif):
- hxxp:// felipllet[.info/images/
chiave hash:
- dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
- 0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
- f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe
I consigli per difendersi da tutte le varianti del malware Ursnif
Per difendersi dal malware Ursnif è possibile seguire alcune regole di buon senso:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
Articolo pubblicato in data 1 febbraio 2019 e aggiornato con i dettagli della nuova variante del malware Ursnif identificata dai ricercatori di sicurezza Yoroi.
