Attacchi Ursnif “Nuovo Documento”

Proto:  N081118.

Con la presente Yoroi desidera informarLa relativamente ad una nuova ondata di attacchi diretti ad Organizzazioni ed utenze italiane. La campagna si manifesta con messaggi di posta fraudolenti contenenti link volti allo scaricamento di archivi compressi “Nuovo documento 1.zip” (analogamente a quanto osservato in N071018 e N031018). All’interno del file zip è presente uno script vbs in grado di scaricare ed installare un impianto malware della famiglia Ursnif, capace di catturare ed esfiltrare credenziali, intercettare sessioni web e digitazioni, fornire accesso backdoor agli host infetti.

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi:

• Dropurl:
  • 217.147.170[.63
  • hxxp://nana.anarindianhollywood[.com/jogptfbuu=w?bba=1
  • hxxp://boby.ancorarestaurantnyc[.com/pagnom94.php
  • nana.anarindianhollywood[.com
  • boby.ancorarestaurantnyc[.com
• C2(ursnif):
  • link.esempleo[.com
  • hxxp://link.esempleo[.com/images/
• Hash:
  • 5df8cc51c682c62a9e5b0d096595106976fa1738f683f4e08dbf4a914897ccc3 zip
  • 5dd0d7d0e5b2b168a9612464ff7280c2fbaf79f99ade487a3c37e2e109661aa7 vbs
  • d54af4e805e98d4659029f9140e41f7001a1c2cdcfaefbaa292a88ad495a7622 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index