Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Il malware della fattura elettronica colpisce aziende e PA: come difendersi

Una massiccia campagna di malspam sta diffondendo una variante del banking trojan Ursnif: le email malevoli contengono un file Excel con riferimenti ad una presunta fattura elettronica e hanno come obiettivo aziende e pubbliche amministrazioni italiane. I consigli per non cadere in questa trappola

01 Feb 2019

Paolo Tarsitano


Gli analisti dei laboratori di ricerca Yoroi hanno individuato una nuova campagna di malspam che sta colpendo massicciamente aziende e pubbliche amministrazioni italiane. I testi delle email malevole sono personalizzati utilizzando contenuti di tipo amministrativo con riferimenti ai nuovi obblighi di fatturazione elettronica.

I messaggi fraudolenti presentano in allegato un foglio di calcolo Excel che, se aperto, infetta la vittima con una nuova variante del banking trojan della famiglia Ursnif. Questo pericoloso malware è in grado di rubare dati personali dell’utente, intercettare le sue attività e installare una backdoor per il controllo da remoto del computer infetto.

La particolarità di questa nuova minaccia è che i contenuti dei fogli Excel sono stati realizzati per colpire espressamente le utenze italiane: il codice macro malevolo al loro interno viene infatti attivato solo se il pacchetto della suite Office installato sul computer della vittima è configurato per utilizzare la lingua italiana.

Il malware della fattura elettronica: l’analisi tecnica

Come già successo in passato con le altre varianti del banking trojan Ursnif, anche questo nuovo malware della fattura elettronica utilizza una sofisticata tecnica steganografica per reperire il codice PowerShell malevolo necessario per eseguire le sue operazioni malevoli.

La steganografia, lo ricordiamo, è un’antica tecnica utilizzata per camuffare le comunicazioni, prevalentemente di tipo militare, tra due interlocutori. In campo informatico, questa tecnica è stata adattata per nascondere informazioni all’interno di un file che può essere un documento, un’immagine o un file audio. L’header di questi file non viene ovviamente compromesso, consentendone la normale visualizzazione mediante un editor di testo, un visualizzatore di immagini o un player multimediale; ma con un apposito scanner (il più delle volte si tratta di un semplice editor esadecimale capace di visualizzare il codice sorgente dei file) è possibile “leggere” le sequenze di bit che contengono le informazioni nascoste.

Il malware della fattura elettronica fa proprio questo. Analizzando il codice dell’email fraudolenta si nota, infatti, un’immagine apparentemente innocua di Super Mario, il famoso personaggio dei videogiochi. In realtà, le prime righe del codice binario di questa immagine nascondono proprio le istruzioni per avviare la catena infettiva che il malware riesce ad intercettare e “leggere” dopo aver eseguito una scansione dell’immagine stessa. Il problema è che, a volte, queste immagini sono così piccole da passare inosservate ad un occhio distratto, magari perché la vittima è presa dai mille impegni lavorativi.

Ottenute le istruzioni necessarie per compiere la sua azione infettiva, il malware attende solo che l’ignara vittima apra il foglio elettronico in allegato all’email fraudolenta per installarsi nel suo computer, rubare informazioni personali e attivare una backdoor che può consentire ai criminal hacker l’accesso da remoto del PC.

Come riconoscerlo e difendersi

Riconoscere il nuovo malware della fattura elettronica è, per fortuna, abbastanza semplice. L’oggetto delle email fraudolenti, infatti, può essere uno dei seguenti:

  • “I: Fattura corretta”
  • “I: Obbligo fatturazione dal 1° Gennaio 2019”
  • “R: SCADUTO”
  • “Avv. scad.”
  • “fattura in scadenza”
  • “I: AVVISO DI PAGAMENTO”
  • “I: bonifico ricevuto in data odierna”
  • “NS.ORDINE NR.0030961 DEL 30/01/19”

Gli altri indici di compromissione (IoC) del malware sono invece i seguenti:

allegati:

  • “DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
  • “DEL_2019_01_S.R.L._N__183382.XLS”
  • “F.DOC.2019 A 113 SPA.xls”

dropurl:

  • hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
  • hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
  • hxxps:// fillialopago[.info////////~DF2F63

command& control server C2 (Ursnif):

  • hxxp:// felipllet[.info/images/

chiave hash:

  • dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
  • 0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
  • f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe

Per difendersi dal malware, invece, è possibile seguire alcune regole di buon senso:

  • non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
  • trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
  • non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
  • se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
  • in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
  • eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.

Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5