Ursnif, la nuova campagna malspam sfrutta l’oggetto Internet Shortcut di Windows

da Salvatore Lombardo Data di pubblicazione: 2 anni fa

scritto da Salvatore Lombardo Data di pubblicazione: 2 anni fa 0 commenti 2 minuti leggi

Sommario

Il CERT-AgID ha avuto evidenza ad inizio anno di una campagna malspam volta a veicolare il malware Ursnif tramite una falsa comunicazione della Agenzia delle Entrate propinata via posta elettronica sfruttando un file di tipo Internet Shortcut.

Potreste Essere Interessati

Ursnif, uno dei trojan bancari più diffusi

Il malware Ursnif/Gozi è uno dei trojan bancari più diffusi capace di raccogliere l’attività di sistema, registrare le sequenze di tasti, tenere traccia dell’attività di rete e archiviare i dati raccolti prima di inviarli al suo server C2.

Inoltre il suo codice sorgente trapelato nel 2015 e reso disponibile su Github, ha consentito negli anni ad altri attori malevoli di svilupparne il codice aggiungendo sempre nuove funzionalità.

Non è un caso che Ursnif sia stato uno dei trojan bancari maggiormente osservati in l’Italia nel 2022.

La falsa comunicazione

L’e-mail con oggetto “Commissione parlamentare di osservanza sull’anagrafe tributaria” e a firma di un presunto Ufficio Comunicazioni invita le vittime (imprese e privati iscritti all’anagrafe tributaria) a prendere visione delle informazioni allegate (presenti in un archivio .ZIP) e relative “alle disposizioni attuative delle misure sull’efficientamento energetico degli edifici“.

Il contenuto dell’allegato

L’archivio .ZIP secondo gli esperti del CERT-AgID a differenza delle campagne Ursnif analizzate in precedenza, conterrebbe una cartella denominata “AgenziaEntrate“ con due file:

un Internet Shortcut denominato “AgenziaEntrate.url”;
una immagine “Logo_Agenzia_Entrate.jpg“.

L’eseguibile di Ursnif

L’eseguibile di Ursnif verrebbe scaricato ed eseguito sui sistemi Windows tramite le istruzioni presenti nel file Internet Shortcut “AgenziaEntrate.url” seguendo il percorso evidenziato nella variabile URL e collegando una unità di rete tramite SMB (Server Message Block).

Consigli

Si ricorda che l’Agenzia delle Entrate permette ai contribuenti di consultare le proprie informazioni fiscali attraverso l’area personale presente sul sito ufficiale e accessibile tramite SPID/CIE/CNS.

Nel caso in cui si dovesse ricevere un sms o una e-mail sospetta, si raccomanda di:

Annunci

non fornire alcun dato personale;
non aprire gli allegati;
non cliccare su link eventualmente presenti;
eliminare quanto prima il messaggio ricevuto.

Il CERT-AgID nel rimarcare che la campagna in oggetto sarebbe ancora in corso ha reso disponibili i relativi IoC.

Pubblicati anche gli IoC per una campagna Ursnif simile e a tema MEF/MISE.

Potreste Essere Interessati

Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.