Ursnif, riprende la campagna malspam a tema Agenzia delle Entrate

da Salvatore Lombardo
0 commenti 2 minuti leggi

Dopo circa 20 giorni di pausa, ecco che riprende una nuova campagna Ursnif, in questo caso si fa riferimento ad una finta ricevuta di pagamento dell’Agenzia delle Entrate.

Annunci

Ursnif

Il malware Ursnif (Gozi) è uno dei trojan bancari più diffusi capace di raccogliere l’attività di sistema, registrare le sequenze di tasti, tenere traccia dell’attività di rete e archiviare i dati raccolti prima di inviarli al proprio server C2. Inoltre il suo codice sorgente trapelato nel 2015 e reso disponibile su Github, ha consentito nel tempo a vari attori malevoli di aggiornare il codice con nuove funzionalità. Ursnif uno dei trojan bancari maggiormente osservati in l’Italia nel 2022, ha subito fatto registrare la sua presenza anche nel 2023 a partire dal mese di gennaio con diversi TTP e campagne malspam.

I messaggi di posta elettronica dell’attuale campagna

Le e-mail, provenienti apparentemente da indirizzi legittimi dell’Agenzia delle Entrate (tramite spoofing degli indirizzi notifica_acc_pagaonline@agenziariscossione.gov.it“, ricevuta_pagaonline@agenziariscossione.gov.it e simili) con oggetto “Ricevuta di pagamento – Transazione n.xxxxxx” contengono un allegato PDF con un link ad un file di archivio .ZIP da cui viene estratto un dropper JS che porterà all’installazione di Ursnif.

Il CERT-AGID a tal proposito rimarca che “come già osservato per altre recenti campagne malware, è in crescita l’uso di allegati PDF e di JS utilizzati come dropper“.

IMG 20230621 WA0002
Screenshot di un campione falsa e-mail Agenzia delle Entrate

Raccomandazioni

Si ricorda che i contribuenti possono consultare il proprio cassetto fiscale attraverso l’area personale presente sul sito ufficiale dell’Agenzia delle Entrate, accedendo esclusivamente tramite identità digitale, e chiedere informazioni solo tramite i canali convenzionali. Si raccomanda in casi come questi di:

  • non fornire alcun dato personale;
  • non aprire gli allegati;
  • non cliccare su link eventualmente presenti;
  • eliminare quanto prima il messaggio ricevuto.

Il CERT-AgID ha reso disponibili ulteriori IoC per questa campagna.

IMG 20230621 152317 267
Campione e-mail (Fonte CERT-AGID)

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara