Categorie
Tech

Ursnif, la nuova campagna malspam sfrutta l’oggetto Internet Shortcut di Windows

Tempo di lettura: 3 minuti. Il malware URSNIF continua a fare nuove ondate a tema Agenzia delle Entrate e MISE

Tempo di lettura: 3 minuti.

Il CERT-AgID ha avuto evidenza ad inizio anno di una campagna malspam volta a veicolare il malware Ursnif tramite una falsa comunicazione della Agenzia delle Entrate propinata via posta elettronica sfruttando un file di tipo Internet Shortcut.

Ursnif, uno dei trojan bancari più diffusi

Il malware Ursnif/Gozi è uno dei trojan bancari più diffusi capace di raccogliere l’attività di sistema, registrare le sequenze di tasti, tenere traccia dell’attività di rete e archiviare i dati raccolti prima di inviarli al suo server C2.

Inoltre il suo codice sorgente trapelato nel 2015 e reso disponibile su Github, ha consentito negli anni ad altri attori malevoli di svilupparne il codice aggiungendo sempre nuove funzionalità.

Non è un caso che Ursnif sia stato uno dei trojan bancari maggiormente osservati in l’Italia nel 2022.

CERT-AgID

La falsa comunicazione

L’e-mail con oggetto “Commissione parlamentare di osservanza sull’anagrafe tributaria” e a firma di un presunto Ufficio Comunicazioni invita le vittime (imprese e privati iscritti all’anagrafe tributaria) a prendere visione delle informazioni allegate (presenti in un archivio .ZIP) e relative “alle disposizioni attuative delle misure sull’efficientamento energetico degli edifici“.

CERT-AgID

Il contenuto dell’allegato

L’archivio .ZIP secondo gli esperti del CERT-AgID a differenza delle campagne Ursnif analizzate in precedenza, conterrebbe una cartella denominata “AgenziaEntrate“ con due file:

  • un Internet Shortcut denominato “AgenziaEntrate.url”;
  • una immagine “Logo_Agenzia_Entrate.jpg“.
CERT-AgID

L’eseguibile di Ursnif

L’eseguibile di Ursnif verrebbe scaricato ed eseguito sui sistemi Windows tramite le istruzioni presenti nel file Internet Shortcut “AgenziaEntrate.url” seguendo il percorso evidenziato nella variabile URL e collegando una unità di rete tramite SMB (Server Message Block).

CERT-AgID
CERT-AgID

Consigli

Si ricorda che l’Agenzia delle Entrate permette ai contribuenti di consultare le proprie informazioni fiscali attraverso l’area personale presente sul sito ufficiale e accessibile tramite SPID/CIE/CNS.

Nel caso in cui si dovesse ricevere un sms o una e-mail sospetta, si raccomanda di:

  • non fornire alcun dato personale;
  • non aprire gli allegati;
  • non cliccare su link eventualmente presenti;
  • eliminare quanto prima il messaggio ricevuto.

Il CERT-AgID nel rimarcare che la campagna in oggetto sarebbe ancora in corso ha reso disponibili i relativi IoC.

Pubblicati anche gli IoC per una campagna Ursnif simile e a tema MEF/MISE.

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version