Ondata di Attacchi “Sollecito Pagamento”

Proto: N041119.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi diretti contro utenti ed Aziende italiane. I messaggi inviati dai cyber-criminali simulano il sollecito di pagamento di ipotetiche fatture insolute da parte di provider di servizi, i quali invitano le vittime a visionare documenti Excel in allegato. Qualora aperti, gli allegati sono in grado di infettare la macchina bersaglio con malware della famiglia Ursnif, capace di  intercettare traffico di rete, trafugare credenziali ed installare ulteriore malware. 

Figura. Esempio Documento Malevolo

Di seguito si riportano gli indicatori di compromissione individuate durante le analisi condotte:

  • Malspam:
    • Oggetto:
      • “1° Sollecito di pagamento”
      • (o similari)
    • Allegati:
      • 0226858-418969.xls
      • 0226839-954361.xls
      • (o similari)
  • Dropurl:
    • hxxps:// padareova[.fun/eru.php
    • guatemal.[xyz
    • skrollinu.[xyz
    • padareova[.fun
    • reoomavo.[fun
    • steercos.[pw
    • nsdaqos[.pw
    • booksale[.red
    • hummercarss[.com
    • randomord.[com
    • wessell.[pw
  • C2 (ursnif): 
    • toloadname[.xyz
    • eiufhvhrc.[xyz
  • Hash:
    • f4c7f1136e8895e8cb54b8e5fe7c7cedbd3c97fc091d388590926c24627bffdb
    • 3d6ece9226f57339b46a1e89fe74fc048da9db15118b6c6114c6f2f593410305

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index