Ondata di Attacchi Contro Aziende Italiane (Ursnif)

Proto: N020919.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una pericolosa campagna di attacco in corso ai danni di utenti ed Aziende italiane. I messaggi di posta inviati dai cyber criminali contengono riferimenti a ipotetici documenti e fatture fittizie, ed invitano la vittima ad aprire un foglio Excel in grado di infettare la macchina con un impianto malware della famiglia Ursnif (TH-124), minaccia in grado di intercettare digitazioni da tastiera, trafugare le password salvate ed alterare la navigazione web utente.

Figura. Esempio documento malevolo

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

  • Malspam:
    • Oggetti:
      • R: Spedizone
      • Fattura n.    <NUM>/000 del 03/09/2019
      • Alleghiamo documento <NUM> del 04/09/19
      • nuova pro forma
      • Invio documento n..1<NUM> del 04/09/19
      • SRL – INVIO COPIA Fattura 1<NUM> del 03-09-2019
    • Allegati:
      • Invio doc_000327_000_030919_085034.xls
  • Dropurl:
    • s://alloiudh[.casa/twiter.php
    • alloiudh.[casa
    • 37.120.145[.208
  • C2 (ursnif):
    • newupprolods[.club
    • 31.214.157.[58
    • newupprolods[.fun
    • 185.212.47[.199
    • aliiuyrt.[space
    • 46.21.153[.52
    • aliiuyrt.[xyz
    • 23.227.201[.168
    • siurreje[.xyz

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index