Sommario
Dopo circa 20 giorni di pausa, ecco che riprende una nuova campagna Ursnif, in questo caso si fa riferimento ad una finta ricevuta di pagamento dell’Agenzia delle Entrate.
Ursnif
Il malware Ursnif (Gozi) è uno dei trojan bancari più diffusi capace di raccogliere l’attività di sistema, registrare le sequenze di tasti, tenere traccia dell’attività di rete e archiviare i dati raccolti prima di inviarli al proprio server C2. Inoltre il suo codice sorgente trapelato nel 2015 e reso disponibile su Github, ha consentito nel tempo a vari attori malevoli di aggiornare il codice con nuove funzionalità. Ursnif uno dei trojan bancari maggiormente osservati in l’Italia nel 2022, ha subito fatto registrare la sua presenza anche nel 2023 a partire dal mese di gennaio con diversi TTP e campagne malspam.
I messaggi di posta elettronica dell’attuale campagna
Le e-mail, provenienti apparentemente da indirizzi legittimi dell’Agenzia delle Entrate (tramite spoofing degli indirizzi “notifica_acc_pagaonline@agenziariscossione.gov.it“, ricevuta_pagaonline@agenziariscossione.gov.it e simili) con oggetto “Ricevuta di pagamento – Transazione n.xxxxxx” contengono un allegato PDF con un link ad un file di archivio .ZIP da cui viene estratto un dropper JS che porterà all’installazione di Ursnif.
Il CERT-AGID a tal proposito rimarca che “come già osservato per altre recenti campagne malware, è in crescita l’uso di allegati PDF e di JS utilizzati come dropper“.
Raccomandazioni
Si ricorda che i contribuenti possono consultare il proprio cassetto fiscale attraverso l’area personale presente sul sito ufficiale dell’Agenzia delle Entrate, accedendo esclusivamente tramite identità digitale, e chiedere informazioni solo tramite i canali convenzionali. Si raccomanda in casi come questi di:
- non fornire alcun dato personale;
- non aprire gli allegati;
- non cliccare su link eventualmente presenti;
- eliminare quanto prima il messaggio ricevuto.
Il CERT-AgID ha reso disponibili ulteriori IoC per questa campagna.