Selected news item is not available in the requested language.

Italian language proposed.

Close

13/12/2018
12:17

Campagna sollecito di pagamento con target Italia veicola il Trojan Ursnif


Nuova ondata di false mail con allegato Excel colpiscono gli utenti italiani per diffondere il pericoloso Trojan Ursnif
      
 
 

Analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una mail della campagna che diffonde il malware Trojan Ursnif inviata in data 13 Dicembre 2018.

Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.

INDICE

 Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Falsa Mail "Sollecito di pagamento 12.2018" diffonde Trojan Ursnif


Descrizione
:
La mail è stata rilevata nella mattina del 13 Dicembre 2018.
La mail si presenta con un breve messaggio che sollecita l'apertura del file allegato alla mail. L'allegato è un file di Excel contenente una MACRO malevola.

Esempio di email analizzata:

OggettoSollecito di pagamento 12.2018


Sollecito di pagamento 12.2018 - Mozilla Thunderbird
Da:                         
Oggetto: Sollecito di pagamento 12.2018
A:                           

Buongiorno,

 

la preghiamo di dare la giusta importanza al documento in allegato.

Cordiali Saluti

 

 

Ufficio Amministrativo


---------------------------------------------


 
1 allegato: 20048_011_10395_0_70.xls
 

Torna ad inizio pagina

La mail oltre ad un breve testo contiene un allegato .xls (Excel) con le seguenti caratteristiche:
  • Nome File: 20048_011_10395_0_70.xls
  • Dimensione: 77824 Byte
  • Md5: 7FFDDE19A2CE936C1E1ED92AEB25EB78
  • Famiglia malware: Downloader
  • VirIT: X97M.Downloader.EW
L'allegato Excel al suo interno contiene una MACRO che se eseguita porta al download con successiva esecuzione del payload del Malware.

La MACRO effettua all'apertura un controllo sull'attuale paese/regione impostato nel Pannello di controllo di Windows attraverso la proprietà "Application.International" sul parametro "xlCountrySetting".
Se il controllo restituisce il codice paese 39 che rappresenta l'Italia allora viene dato il via all'infezione altrimenti viene chiuso il programma Excel senza eseguire ulteriori attività (Application.Quit).

Sub Workbook_Open()
If Application.International(xlCountrySetting) = 39 Then Sheet3A Else Application.Quit
End Sub
Sub Sheet3A()
Visiblec = Shell#(MasterFunction, 500000000000# - 500000000000#)
End Sub
....

Questo fa notare l'intenzione da parte dell'attaccante di colpire i soli target italiani.

Se la verifica della localizzazione ha esito positivo viene dato il via alla catena di comandi atti al download del Payload del Malware (vedi estratto grafico img.1):
  1. La MACRO esegue un primo comando "CMD"contenente il codice offuscato per effettuare il download che esegue un secondo comando "CMD".
  2. Il secondo comando "CMD" deoffusca parte del comando di download sempre attraverso "CMD" mentre salva una parte di codice nella Clipboard (clip.exe) di Windows eseguendo quindi un terzo comando "CMD".
  3. Il terzo comando CMD esegue un comando "POWERSHELL".
  4. Il comando POWERSHELL recupera le informazioni salvate precedentemente dalla Clipboard di Windows per poter dare inizio al download.
Il comando POWERSHELL è ora completo e scarica due file:
  • https://images2[.]imgbox[.]com/43/d7/RDjs3JCK_o.png
  • https://halamobedlam[.]org////oldDoc
Il primo file è una immagine (img.2) mentre il secondo file è il Payload del Malware che viene quindi eseguito.


img.1

img.2

Il Payload del Malware viene salvato nella cartella temporanea dell'utente (%temp%) nel caso di questa analisi con nome "Eiquip.exe"
  • Nome File: Eiquip.exe
  • Dimensione: 437998 Byte
  • Md5: A8C1709CA7BECD32D79DD7FB2E219B40
  • Data di compilazione: 12/12/2018 - 15:28:24
  • Famiglia malware: Ursnif
  • VirIT: Trojan.Win32.Ursnif.BEN
e successivamente eseguito.

Il malware Ursnif quindi esegue l'Injection sul processo di Internet Explorer (iexplore.exe).
Contattando poi il server di Comando e Controllo (C&C) a questo indirizzo: 193[.]242[.]211[.]178 dove invierà le informazioni esfiltrate.

Di seguito riportiamo il grafico completo del processo di infezione:


Lo scopo finale del Malware è quello di esfiltrare login e password di accesso a siti importanti come home banking, posta elettronica, Social Network, Siti Web, FTP etc...

IOC

MD5:
7FFDDE19A2CE936C1E1ED92AEB25EB78
A8C1709CA7BECD32D79DD7FB2E219B40

URL:

https://halamobedlam[.]org -> IP: 193[.]242[.]211[.]185
C&C: 193[.]242[.]211[.]178


Torna ad inizio pagina

 


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possibile/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina




Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: