Ondata di Attacchi Con Archivi Cifrati

Proto: N040219.

Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco in corso in questi giorni ai danni di organizzazioni italiane. Gli attacchi sono caratterizzati dall’abuso di comunicazioni email realmente intercorse tra vittime ed indirizzi di posta mittenti delle email infette. Questo modus operandi è già stato rilevato nel corso di varie ondate di campagne di attacco Ursnif nel corso del 2018, riportate all’interno dei bollettini Early Warning N010518, N040318, N040618 e N040718.

Questa nuova ondata di messaggi fraudolenti è caratterizzata inoltre dalla presenza di allegati compressi protetti da password, al cui interno sono piazzati documenti malevoli in grado di iniziare la catena di infezione Ursnif ai danni dell’host vittima. L’utilizzo di questo stratagemma rappresenta un rischio di sicurezza in quanto i messaggi malevoli possono aver maggiori probabilità di evadere gli eventuali controlli perimetrali ai quali la corrispondenza in ingresso è sottoposta.

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi:


Figura. Esempio di contenuto del messaggio
  • Malspam:
    • Oggetto:
      • Re: <OGGETTO DI CONVERSAZIONE PRECEDENTE>
    • Mittente:
      • <MITTENTE NOTO AI DESTINATARI>
    • Corpo:
      • Come da Figura a lato, in aggiunta al corpo della conversazione pregressa
  • Dropurl
    • hxxp:// wbfnjohanna[.band/xn102sp10zk/m10ps1-slx.php
  • C2 (Ursnif):
    • xbtillmanee[.company
    • cyihenryqd[.city
    • n79ye83au4268[.com

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index