Nuova Ondata di Attacchi Ursnif

Proto: N031219.

Con la presente Yoroi desidera informarLa riguardo ad una nuova ondata di attacchi ai danni di aziende ed organizzazioni italiane. Gli attacchi si manifestano con email fraudolente a tema legale create per invitare la vittima a scaricare ed aprire archivi contenenti codici malevoli VBScript, utilizzati dai cyber criminali per inoculare malware della famiglia Ursnif (TH-196) all’interno delle macchine bersaglio. 

Il malware in questione è stato inoltre digitalmente firmato con certificati validi. Pertanto risulta molto pericoloso per via delle sue capacità evasive, anche a causa dello sfruttamento di servizi cloud Sharepoint per la distribuzione del malware.

Figura. Firma digitale Eseguibile Malevole

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

  • Dropurl:
    • hxxps://sp344-my.sharepoint[.com/:u:/g/personal/aleksandra_dyniec_sp344_onmicrosoft_com /EQudehlMV3pAoHGXonjO_fgBgcaCHDcHwwhzjnVt7ZROXg?download=1
    • hxxp:// customerspick[.com/<4CHARS>?<5CHARS>=<6NUMBER>
    • hxxp:// hintdeals[.com/paginfo52.php
    • aromareadytools.[com
    • betterbusinessresults.[co
    • bibpics.[com
    • customerspick.[com
    • hintdeals.[com
    • more-patients-now[.com
    • myaromatoolsstore[.co
    • mylocalreputationreport[.com
    • oneway[.rent
    • personalizedkreations[.com
    • pixelsuperstore.[com
    • rxbizsolutions[.com
    • shoes2boots1991[.com
    • student-pod.[com
    • temps[.team
    • thallofloraldesign[com
    • thedogoodarmy.[com
    • wanderunderwater.[com
  • C2 (ursnif): 
    • hxxps:// sscupace[.xyz/index.htm
    • sscupace.[xyz
    • 46.29.165.[138
  • Hash
    • ae4d5a34e7fa3712ac2ea576b6c43fd6c387e29a63d5f69f0f1e13e35fc0f289
    • 85c9d7a666a449295019d2dbce0a18d740cad12e30f4cca00a8e697830b056d6
    • 3f2a1b23c944a9f1d8ca8339408ea90597b0849338a5bd4dfe5100a28bda8ffa
    • 73ff8afd26d37f573781db3cce6d284aebc013a3e7914bf9f1ea867fc36c2008

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index