Ursnif è il payload preferito di TA544, l’autore del malware

Trojan bancari prendono di mira Italia e Giappone

In corrispondenza di una pericolosa campagna via email che stava colpendo gli utenti italiani con il malware Panda Banker, nel febbraio 2017, Proofpoint ha individuato l’autore di malware TA544. Oggi lo stesso aggressore ha diffuso più di sei payload singoli (ognuno con differenti varianti), in campagne su larga scala (centinaia di migliaia di messaggi al giorno) dirette ai paesi dell’Ovest Europa e al Giappone, aree in cui sta concentrando anche la distribuzione dei Trojan bancari Ursnif e URLZone Banker.

Ursnif: il payload preferito di TA544

Ursnif è un Trojan bancario tradizionale in grado di:

  • Rubare dati salvati, tra cui password dai siti bancari, tramite web injection, connessioni proxy e VNC.
  • Aggiornarsi o installare moduli da remoto.
  • Ursnif ha numerose varianti e nomi, quali Dreambot, ISFB, Gozi e Papras; è distribuito in campagne su larga scala, tramite centinaia di migliaia o milioni di messaggi.
  • Ursnif 1000

Ursnif 1000, l’ID affiliato più spesso associato a TA544, è generalmente distribuito in campagne dai grandi volumi (centinaia di migliaia di messaggi al giorno) che spesso colpiscono le divisioni IT, tecnologiche e marketing delle aziende in Giappone.

Molte delle campagne di Ursnif 1000 utilizzano una combinazione robusta di tecniche di geo-fencing per verificare che gli utenti si trovino in Giappone. I messaggi rilasciano i payload attraverso documenti Excel con macro che, se abilitate, scaricano URLZone, un altro Trojan bancario, il quale a sua volta scarica Ursnif 1000.

Ursnif 4779

Ursnif 4779 è solitamente distribuito in campagne dal volume più contenuto (decine di migliaia di messaggi al giorno) che colpiscono le divisioni tecnologiche, manufatturiere e verticali IT in Italia. Come Ursnif 1000, anche questa variante è associata a TA544 e condivide le tecniche di geo-fencing. Viene installato in uno dei seguenti metodi: tramite allegati Excel con macro pericolose che, una volta attivate, installano Ursnif con un codice di blocco simmetrico complesso, definito “chiave del serpente” o immagini steganografiche che nascondono i comandi PowerShell pericolosi per installare Ursnif.

Distribuzione

I metodi di distribuzione di Ursnif variano in base alle circostanze, al target verticale e all’area geografica. Ursnif condivide il codice con molti altri Trojan bancari e il codice sorgente di una versione precedente è stato distribuito gratuitamente su forum online. Spesso, gli autori di malware modificano o adattano il codice per raggiungere obiettivi definiti.

Ursnif può essere installato come payload primario o secondario e può essere diffuso attraverso file .Zip protetti da password, allegati di Microsoft Office con macro pericolose, script JScript, JavaScript o Visual Basic compressi. Tuttavia, gli strumenti più comuni di TA544 sono messaggi contenenti documenti Microsoft Office che includono macro, le quali una volta attivate, installano URLZone e/o Ursnif.

Trend e obiettivi

Per ora, Ursnif è uno dei Trojan predominanti nel panorama delle minacce. Nel Q4 2018, Proofpoint ha visto il codice raggiungere picchi costanti nel volume di messaggi. A seguito della sua natura variabile, è difficile identificare i trend di distribuzione, in quanto dipendono spesso dall’aggressore, dall’area geografica e dai target verticali.

TA544 agisce spinto da motivazioni finanziarie, utilizza una vasta gamma di payload per colpire utenti europei e asiatici. I ricercatori di Proofpoint sono stati in grado di identificare alcuni aspetti comuni tra le campagne. Una caratteristica rilevante è l’utilizzo della steganografia, il processo di occultamento del codice all’interno di immagini. TA544 ha utilizzato queste strategie nelle recenti campagne in Italia e in Giappone, sfruttando immagini relative alla cultura pop italiana, allegate a documenti Office.

Il post completo è disponibile qui.