Anche quest’anno è iniziato con una campagna malspam che coinvolge utenze italiane volta a veicolare il malware Gozi/Ursnif. Le e-mail chiedono di prendere visione di documenti allegati afferenti all’Agenzia delle Entrate e contenenti informazioni riguardanti presunte incoerenze emerse o false disposizioni sulla consegna dell’ultima dichiarazione dei redditi.
La singolarità emersa dalle analisi del Cert-AgID di questa campagna è che mentre fino adesso in Italia Ursnif è stato sempre distribuito attraverso macro malevole di documenti Microsoft Office, ora questi nuovi campioni del malware verrebbero veicolati impiegando dropper VBE.
Le e-mail intercettate
Le false e-mail riportano come mittente indirizzi di posta elettronica che richiamano (tramite spoofing) vari uffici dell’Agenzia (Ufficio Accertamenti, Direzione nazionale Agenzia delle Entrate, Ufficio Agenzia, Ufficio Riscossioni) e hanno oggetti riferiti a presunte osservanze sul registro tributario o sull’anagrafe tributaria.
Ecco gli screeshot di alcuni di questi messaggi di posta elettronica, che seppur differenti nei contenuti, presentano la stessa forma e struttura e spingono a consultare l’archivio allegato e protetto (fatto questo che potrebbe dare nel contesto maggiore credibilità).
Il dropper VBScript
Per visualizzare informazioni e disposizioni, i messaggi intimano pertanto ad aprire una cartella compressa in formato .ZIP protetta da password riportata all’interno dello stesso messaggio. Tali allegati .ZIP che possono riportare nomi come “documento”, “agenzia”, “contribuente” contengono tutti al loro interno un file di tipo VBScript codificato che, fungendo da dropper punta al download della DLL di Ursnif da una serie di domini predisposti. Solo successivamente alla esecuzione della stessa viene instaurata una comunicazione con una lista di server C2.
Gli IoC sono stati condivisi dal Cert-AgID:
- https://cert-agid.gov.it/wp-content/uploads/2022/01/ursnif_11_12-01-2022.json_-1.txt
- https://cert-agid.gov.it/wp-content/uploads/2022/01/ursnif_agenzia-entrate_2022-01-19.json_.txt
Le raccomandazioni
L’Agenzia delle Entrate, ovviamente disconosce completamente il contenuto di queste e-mail, e raccomanda pertanto a tutti i cittadini di verificare l’attendibilità di comunicazioni simili ricevute rivolgendosi al numero 800.909696 e di denunciare alle Forze dell’Ordine i casi illeciti. E’ anche possibile consultare gli avvisi sul tema nella sezione periodicamente aggiornata del sito Istituzionale dell’Agenzia.
Anche il Cert-AgID dal canto suo consiglia di prestare particolare attenzione a questo tipo di comunicazioni che spesso imitano i comunicati emessi dalla PA e di segnalarle alla casella malware@cert-agid.gov.it attivata allo scopo.
