Ondata di Attacco Ursnif “FATTURA/DOC”

Proto: N04419.

Con la presente Yoroi desidera informarLa relativamente ad una recente ondata di attacchi rivolta ad utenti ed organizzazioni italiane. I messaggi di posta fraudolenti intercettati simulano l’invio di documentazione e copia di fatture, tuttavia al loro interno contengono documenti Excel malevoli in grado di infettare la vittima con un impianto malware della famiglia Ursnif: minaccia in grado di intercettare digitazioni da tastiera, trafugare le password salvate ed alterare la navigazione web utente.

Figura. Apertura del documento malevolo

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

  • Malspam:
    • Oggetto:
      • Doc. n   2392
      • Doc. n   5841
      • FATTURA/DOC 04/2019
      • I: FATTURA 130
      • Invio per posta elettronica
      • modificare
      • ricevuto il pagamento
      • Conferma ordine
      • Fattura differita ()
      • I: sollecito ft 169
      • I: sollecito ft 810
    • Allegati:
      • Doc. n 3149-0.19 del 23-04-2019 CL 5042.xls
      • F67_RICHIESTA_AVVISO_Conferma_179750_0000_n._3.2019_All._n._1_File_excel.xls
      • f27-RICHIESTA.AVVISO-Conferma-126294-0000.n.03.2019-All.n.1_File-excel-.xls
  • Dropurl:
    • illeain[.info
    • 194.76.224[.48
    • hxxps: //illeain[.info/crew
    • hxxps: //illeain[.info/_ListDocs.cvs
  • C2 (ursnif):
    • 185.158.248[.101
    • hxxp: //alltimedfgsf[.icu/images/
  • Hash:
    • 72510ed11b8e3375cf7e9b07e7c2a823e5e118b3db469040c11e2e6a70c88e58
    • 1ead8ad5a9f6466893cc98d4f1483a78f1afb5a0e3ca1982818de5bf1f9777c1
    • 5a3177a1d9b0f8913370209cba4f82ed6d4d99562d06eccd191a8015e73e5918

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index