Malware Ursnif

Nuovo attacco hacker ancora in corso, cosa fa e come si diffonde

Ursnif 2019

Articolo aggiornato

L'articolo che stai leggendo fa riferimento alla versione precedente del Malware Ursnif, quella del 2018, se vuoi sapere di più del nuovo attacco in corso di quest'anno clicca sul pulsante.

Avviso Importante!

Èin corso una campagna di attacco hacker che distribuisce un malware trojan Ursnif.
La campagna malware è partita la mattina del 20 marzo 2018 ed è ancora in corso.
Diffonde un trojan che elude la protezione e apre un canale di comunicazione verso il pc hackerato sfruttando gli indirizzi e-mail della vittima.

01. Cosa fa e come si diffonde

Il malware che viene scaricato fa parte della famiglia degli Ursnif, le sue peculiarità sono quelle di prelevare password di accesso a siti importanti come possono essere home banking, posta, ftp etc.

Secondo quanto scrive il Centro Ricerche Anti-Malware di TG Soft, sfrutta gli account di posta elettronica configurati nel pc infettato, inviando finte risposte infette, a dei messaggi che sono stati GIÀ RICEVUTI in precedenza dalla vittima stessa.
Il corpo del messaggio è sempre lo stesso (visibile qui sotto, in rosso):

Buongiorno,
Vedi allegato e di confermare

L'oggetto invece varia di volta in volta proprio perché rispondendo a dei messaggi che la vittima ha ricevuto, nei giorni precedenti, si personalizza in base ad essi.
In allegato si trova un file DOC con nome "Richiesta.DOC" oppure termina con "-Richiesta.Doc" (esempio "info-Richiesta.doc").
L'allegato malevolo presente nella mail è un file DOC che al suo interno contiene una MACRO AutoOpen che esegue il file CMD.EXE passandogli come parametro una stringa di codice per avviare PowerShell (campagna del 2018-03-20).
Successivamente il cmd.exe manda in esecuzione uno script di Powershell che fa il download dell'Ursnif dal sito fraudolento e lo scarica nella cartella C:\Users\Public\ seguita da un numero (ad esempio C:\Users\Public\241520.exe)

Il malware viene eseguito per copiarsi in una sottocartella casuale di %USERPROFILE%\APPDATA\ROAMING\MICROSOFT e mettersi in esecuzione automatica, crea una chiave in:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run[valore casuale] = %USERPROFILE%\APPDATA\ROAMING\MICROSOFT\[CARTELLA CASUALE]\NOMEFILE.EXE.

02. Come riconoscere email con virus

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe. È fondamentale un'attenta lettura della mail, in tutti i suoi elementi.
Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. È fortemente sconsigliato impostare l'esecuzione automatica delle macro poiché la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.

Nel caso in cui si fosse stati infettati da un Trojan-Banker (i programmi Trojan-Banker vengono appositamente progettati per realizzare il furto dei dati confidenziali relativi agli account utilizzati per accedere ai sistemi di banking online e ai sistemi di pagamento elettronico), il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.

Nel caso in cui la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.

03. Come richiedere l'analisi di materiale sospetto al C.R.A.M.

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

  • qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  • salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (Link). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).

Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware)

Conclusione

con questo articolo abbiamo voluto aiutarvi ad evitare di incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale.

Share:

Sicurezza informatica aziendale

Se vuoi informazioni su come proteggere la tua azienda da attacchi informatici,potresti trovare utile il nostro articolo relativo alla

Sicurezza informatica aziendale

Altri post

Restyling sito
06 Luglio 2019

Restyling sito

Blu System ha deciso di rinnovare completamente il sito rendendolo responsive, SEO Friendly e adatto agli utenti, con più contenuti ed uno stile tutto nuovo.

Sicurezza informatica aziendale
03 Luglio 2019

Sicurezza informatica aziendale

Cyber security: tecnologie e mezzi volti alla protezione dei sistemi informatici aziendali e dei dati sensibili.

Serve aiuto?

Contattaci

Ai sensi dell'art. 13 del Regolamento Europeo 2016/679
I dati da Lei inseriti, quali i dati identificativi, indirizzi, numeri di telefono e indirizzo email, saranno trattati dalla Blu System, in qualità di Titolare del trattamento, con modalità manuali, informatiche e telematiche al solo fine di dare risposta alle Sue richieste e non verranno messi a disposizione di nessuno, né diffusi. Il trattamento di tali dati è necessario perchè il titolare del sito internet possa evadere le Sue richieste. In qualità di interessato del trattamento, Le è garantito il diritto di ottenere dal Titolare del trattamento la conferma dell'esistenza dei Suoi dati personali e la loro comunicazione in forma intelligibile, di conoscere le modalità e le logiche del trattamento, di richiedere l'aggiornamento e l'integrazione dei dati stessi, la loro cancellazione o trasformazione in forma anonima. Per qualsiasi ulteriore informazione o per l'esercizio dei diritti previsti dal Regolamento a favore dell'interessato potrà rivolgersi a Blu System, Via Ferrini, 4 - 27100 Pavia, alla casella e-mail info@blu-system.com. L’Informativa completa è disponibile al seguente link: Privacy Policy .


Indirizzo

Via Ferrini 4 - 27100 Pavia

Su di noi

Assistenza e consulenza informatica per aziende e professionisti

P.Iva: IT02341220180

Logo Bureau Veritas Logo Mepa Logo Sintel

I nostri contatti

Sede: Via Ferrini 4, 27100 Pavia

Tel: 0382 578146

2019 © All Rights Reserved by Blu System
  • Privacy Policy
  • |
  • Cookie Policy