Campagna di attacco “Fattura corretta”

Proto: N070119.

Con la presente Yoroi desidera informarLa relativamente ad una campagna di attacco in corso ai danni di numerose utenze ed organizzazioni italiane. Le email malevole sono appositamente create con tematizzazioni amministrative e riferimenti ai nuovi obblighi di fatturazione elettronica. I messaggi fraudolenti contengono al loro interno allegati Excel in grado di infettare la vittima con impianti malware della famiglia Ursnif.

Questi documenti sono stati preparati esplicitamente ai danni di utenze italiane, infatti il codice macro malevolo al loro interno viene attivato solamente qualora il pacchetto Office sia configurato in lingua italiana. In seguito viene eseguito codice powershell reperito tramite tecniche di steganografia su immagini raster, analogamente a quanto osservato in N031218 e N050918.

Figura 1. Documento Excel malevolo
Figura 2. Immagine contenente codice powershell

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi:

  • Malspam:
    • Oggetto:
      • “I: Fattura corretta”
      • “I: Obbligo fatturazione dal 1° Gennaio 2019”
      • “R: SCADUTO”
      • “Avv. scad.”
      • “fattura in scadenza”
      • “I: AVVISO DI PAGAMENTO”
      • “I: bonifico ricevuto in data odierna”
      • “NS.ORDINE NR.0030961 DEL 30/01/19 “
    • Allegati:
      • “DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
      • “DEL_2019_01_S.R.L._N__183382.XLS”
      • “F.DOC.2019 A 113 SPA.xls”
  • Dropurl:
    • hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
    • hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
    • hxxps:// fillialopago[.info////////~DF2F63
  • C2 (ursnif):
    • hxxp:// felipllet[.info/images/
  • Hash:
    • dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
    • 0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
    • f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index