Nuovi Attacchi Ursnif in Corso “GLS-Italy”

Proto: N041219.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi in corso verso le aziende italiane. Le email fraudolente in circolazione tentano di simulare comunicazioni provenienti da noti Corrieri Espresso, al loro interno sono però presenti allegati Excel infetti appositamente studiati per attivarsi su PC di utenti italiani.

Figura. Esempio documento Malevolo

Questi documenti sono usati per inoculare una variante malware della famiglia Ursnif nelle macchine bersaglio, minaccia in grado di installare ulteriori agenti malevoli, intercettare il traffico di rete, rubare password e credenziali salvate. 

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

  • Malspam:
    • Oggetto: 
      • AVVISO DI GIACENZA vs BA <NNNNNN>
    • Mittente:
      • <NOME_FITTIZIO>@gls-italy.com
    • Allegati:
      • Comunicazione_Spedizione<NNNNNN>.xls
  • Dropurl:
    • hxxps:// newsaplicamento.[surf/frus?
    • newsaplicamento.[surf
    • desaidles2.[fun
    • ge1dmond[.info
    • zal6etuf[.pro
    • gedmond0[.pro
    • new1discoveries1[.com
    • newsaplicamento2.[surf
    • kolonimalosi8 [.pw
  • C2 (ursnif): 
    • hxxp://ohfebveub[.xyz/images/
    • ohfebveub.[xyz
    • ohfebveub.[fun
  • Hash:
    • b543bb3fe5f0eb1bad4689f273aa8cf8e90530f2fb5dd59cb7357663329ab5f2
    • a9d436f40c00bf767d8d768ad9bb8cea3b25164ffea0e3d6633e667285c04476

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index