Campagna di attacco Ursnif “Fattura”

Campagna di attacco Ursnif “Fattura”

Proto: N050918.



Con la presente Yoroi desidera informarLa relativamente al rilievo di una pericolosa campagna di attacco rivolta ad utenti ed organizzazioni italiane. Gli attacchi si manifestano con messaggi di posta fraudolenti riferiti a fatture e documenti fittizi che invitano gli utenti all’apertura del foglio di lavoro Excel in allegato.


Figura 1. Schermata utente all’apertura dell’allegato malevolo


A seguito dell’apertura del documento Excel vengono messe in esecuzione macro malevole in grado di lanciare una successione di comandi di sistema volti a scaricare un malware della famiglia Trojan/Ursnif, minaccia capace di trafugare dati, fornire accesso backdoor ed intercettare attività utente. 

La pericolosità della ondata di attacco risiede nelle particolari modalità di scaricamento del malware finale e nella catena di comandi di sistema invocati: vengono utilizzate tecniche di steganografia e la clipboard di sistema per il passaggio di dati e parametri durante le fasi di completamento del ciclo infezione. Queste circostanze aumentano la capacità della minaccia di eludere sistemi perimetrali e quindi l’efficacia della campagna di attacco.


Figura 2. Controlli sulla nazionalità della vittima effettuati durante il ciclo di infezione.


Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Allegato:
      • “fatt F n.<5-CIFRE>  2018.xls”
      • “fatt F n.70254 2018.xls”
      • “3Dfatt F n.18620 2018.xls”
    • Oggetto:
      • “R: Fattura”
      • “INVIO CONFERMA N.<3-CIFRE> x ORDINE MAIL DEL 24/09/18”
      • “Invio documenti”
      • “PREVENTIVO”
      • “Spett.le .- rif. <3-CIFRE> del 24.09.2018”
  • Dropurl (steganografia):
    • hxxps:// images2.imgbox[.com/36/b6/FP0V28Vz_o.png
  • Dropurl (exe):
    • hxxps:// printpaint[.us/html
  • C2 (ursnif):
    • hxxp:// 109.230.199[.237/images/
    • 109.230.199[.237
    • f582e064be47[.com
  • Hash:
    • 321a56baeb6b31fd1a93cf927d590c9d0d04c331d906bc81b31839d9e56ce8d5  xls
    • ffc6dbd48ab7779a6443b71bc886f1807a565567967244101935afba9613b3dd  png
    • d49af5f5817da33e524379f45922b982b08ab16b72b4e3dcaf85e4b139027bba  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index