Home News Ursnif colpisce l’Italia tramite l’utilizzo dei file VBE

Ursnif colpisce l’Italia tramite l’utilizzo dei file VBE

-

Tempo di lettura: 2 minuti

I ricercatori di Check Point Software Technologies Ltd., uno dei principali fornitori mondiali di soluzioni di cybersecurity, hanno scoperto un’altra campagna di malspam da parte di Ursnif rivolta all’Italia. Fino ad ora sono noti solo alcuni dettagli, ma è stato scoperto che il file maligno è un file VBE (VBS codificato) denominato “SCANSIONE.vbe” e viene recapitato tramite allegati ZIP in e-mail con un oggetto che riprende il nome di documenti in italiano.

Gli hacker sembrano anche operare attraverso noti servizi web-mail italiani come: tiscali.it, pec.it, libero.it e altro.

La catena di contagio avviene come descritto di seguito:

  1. Il file VBE scarica lo script PowerShell dalla pagina pagamentofattura\.com/ntu
  2. PowerShell esegue certutil.exe per scaricare il file codificato base64 camuffato come documento certificato da pagamentofattura\.com/nt.txt
  3. exe decodifica il file, lo scrive in un nuovo file denominato notepad+.exe e lo esegue.

Schermata 2018-08-26 alle 21.35.03

Schermata 2018-08-26 alle 21.36.21

Gli IOC – Indicatori di Compromissione:

  • pagamentofattura\.com/ntu
  • pagamentofattura\.com/nt.txt (Certificato falso)
  • 81ced08079f3d28f458ca9cdaf64249c (VBE)
  • beb5552932bfe23215c2ca1248f58184 (PowerShell)
  • 2d4092d34a5d1c864becbca80353fb95 (exe notepad+.exe decodificato)
  • Nome del file: Notepad+.exe

“Gli aggressori stanno cercando di sembrare italiani utilizzando termini in italiano nell’oggetto della mail e nei nomi dei file, e utilizzando indirizzi email di domini italiani (ad es. Outlook.it). Ciò nonostante, potrebbero provenire da qualsiasi parte del mondo e utilizzare questi artifici e quindi non possiamo determinare la loro origine effettiva. Gli obiettivi, in ogni caso, sono TUTTI in Italia. Sappiamo per certo che alcune infezioni hanno avuto successo. Significa che diverse persone, dipendenti di aziende italiane, sono state vittime di questa truffa e hanno aperto l’allegato malevolo, lasciando entrare il malware nelle loro reti. Questa è una grande opportunità per ricordare ai lettori di prestare la massima attenzione alle e-mail e di aprire solo allegati di persone di cui si fidano pienamente. Inoltre, l’utilizzo di sistemi di sicurezza appropriati sarebbe utile per affrontare i casi più dubbi che sono difficili da determinare manualmente.” ha dichiarato Hadar Waldman, Threat Intelligence Team Leader di Check Point Software Technologies Ltd.

 

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Picco di minacce RDoS: colpite organizzazioni di ogni paese e settore

    Picco di minacce RDoS: colpite organizzazioni di ogni paese e settore

    Migliaia di realtà in tutto il mondo sono state colpite da questo tipo di attacchi, con richieste di riscatto in bitcoin
    SAP_DigitalLeadersOnAir

    SAP: dove vanno gli ecosistemi digitali?

    Nel quarto appuntamento di Digital Leaders On Air, organizzato da SAP e IDC, si è parlato del quadro di innovazione digitale che si sta sviluppando in Italia
    Smart Agriculture: nasce Agritech Innovation Hub

    Smart Agriculture: nasce Agritech Innovation Hub

    Protocollo d'intesa tra TIM e Confagricoltura per l’implementazione di tecnologie innovative al mondo agricolo
    Ignite 2020: le novità Microsoft per la trasformazione digitale

    Ignite 2020: le novità Microsoft per la trasformazione digitale

    Nuovi strumenti e servizi per rispondere all’emergenza sanitaria e affrontare con successo la fase di ripresa
    Work 2035: Il lavoro di domani? Più intelligente

    Work 2035: Il lavoro di domani? Più intelligente

    L'introduzione dell'AI porterà nuove figure professionali, dipendenti più motivati e produttivi, innovazione e crescita