Campagna di Attacco “Invio Documenti” (Ursnif)

Proto: N031218.

Con la presente Yoroi desidera informarLa relativamente ad una nuova ondata di attacco rivolta a numerose Organizzazioni pubbliche e private italiane. Gli attacchi sono portati tramite l’utilizzo di messaggi di posta fraudolenti accuratamente preparati per indurre la vittima all’apertura del documento Excel allegato, richiedendo l’abilitazione dei contenuti dinamici. Nello specifico caso la tematizzazione richiama solleciti di pagamento relative a fatture non evase:

Figura 1. Esempio documento Excel malevolo


Una volta abilitate le macro, il documento inizia una serie di operazioni in grado di installare silentemente un impianto malware della famiglia Ursnif, sfruttando codice Powershell offuscato inserito all’interno di immagini PNG con tecniche di steganografia. Il malware scaricato è capace di catturare ed esfiltrare credenziali, intercettare sessioni web e digitazioni, fornire accesso backdoor agli host infetti.

Figura 2. File PNG scaricato dal Documento malevolo contenente steganografia


Figura 3. Codice del dropper mirato per l’Italia

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi effettuate:

  • Malspam:
    • Mittenti:
      • vari: caselle di posta potenzialmente compromesse
    • Oggetto:
      • “Invio documenti 12/2018” (o similari)
      • “Nuova richiesta” (o similari)
      • “DOC 12/2018”  (o similari)
    • Allegati:
      • “20391_011_17407_0_62.xls”
      • “20359_011_18158_0_07.xls”
      • (o similari)
  • Dropurl (steganografia):
    • hxxps://images2.imgbox[.com/43/d7/RDjs3JCK_o.png
    • hxxps://i.imgur[.com/Hz99iZp.png
  • Dropurl:
    • hxxps://halamobedlam[.org////oldDoc
  • C2 (ursnif images):
    • hxxp://allooalel[.club/images/
    • 193.242.211[.178
  • Hash:
    • 26cc62317d32efcf2b936ff3467314ce5555870c31fa615fe58f2b8b5f38a3d0 xls
    • 1233c64183a45a112e915daa01797c74a107cbb840ae5cb74d60fd31f7a86272 png
    • 8a2ff0f1654bc3582d09a85e65ee4886ed834cd72d9507bbb60bcf20a646719f png
    • 93321b2fa8cd18cae8a2518047dba597acf5f70dbf55b7ead4409ba23f6318a5  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index