Cybercrime e Ursnif

Torniamo nuovamente a parlare di Cybercrime, malware e truffe in internet. Questa volta, nello specifico parleremo di Ursnif. Ricollegandoci ad un post pubblicato pochi giorni fa su Analysis-Defence, nel quale parlavamo e analizzavamo nella fattispecie, qulle “MailFraud” dove vengono chieste alle vittime, le credenziali home-banking.

Italia di nuovo sotto l’attacco del cybercrime. Ursnif, Stesse esche, tecniche differenti.

Il cybercrime torna ad attaccare utenti e organizzazioni in Italia con il malware Urnsif. Lo fa, però, con un nuovo malware-spam in cui sono state variate le modalità di download del codice malevolo e la catena di comandi, rispetto alle ondate precedenti. Secondo il CERT, Agenzia per l’Italia Digitale, ci sono nuove tecniche rispetto le precedenti dove a far fronte alle truffe erano finti contenuti di sentenze legali.

Cos’è Ursnif

Ursnif è un malware scoperto dai ricercatori di CybSec Enterprise, azienda italiana che si occupa di cyber security. Ursnif è un software capace di entrare in possesso delle credenziali per accedere nell’home banking delle vittime che lo installano inconsapevolmente sul proprio PC.

Le nuove tecniche

Una delle nuove tecniche utilizzate con Ursnif è la steganografia, tecnica che si prefigge lo scopo di nascondere una comunicazione tra due interlocutori. Generalmente, i messaggi nascosti sembrano essere qualcos’altro come immagini, articoli, elenchi di shopping o un altro testo di copertura. In questo caso la tecnica usata è sempre quella delle comunicazioni bancarie inviate tramite email, con allegati di tipo Excel, i quali, una volta aperti, avviano l’esecuzione di macro – che non sono altro che delle mini applicazioni realizzate con il programma Visual Basic for Application – e permettono di automatizzare alcune funzionalità di Excel e a scaricare il Trojan-Bank. Questo sistema permette al Cybercrime di carpire dati e intercettare le attività delle vittime.

Quali sono le vittime predilette

Fanno notare gli esperti come i cybercriminali puntino a colpire esclusivamente i sistemi operativi Windows che utilizzano impostazioni in lingua italiana, ragion per cui si pensa che l’attività illecita sia diretta prettamente all’Italia.

Come difendersi

Come consigliato in precedenza è bene imparare a riconoscere le minacce quando ce le troviamo davanti. Se in una mail vediamo in allegato un file ZIP, diffidiamo sempre perché una mail maligna riesce a soddisfare il proprio intento solo se l’allegato viene aperto, in caso contrario è innocua.

Avecto DefendPoint è la migliore soluzione per difendersi da questo tipo di malware. Avecto impedisce ai file sospetti di essere aperti, proteggendo i PC anche da aperture file accidentali

Cosa fare se ci si accorge di essere stati infettati

Cambiare immediatamente le password di tutti i siti utilizzati che contengono dati sensibili e contattare la propria banca chiedendo un cambiamento dei codici d’accesso.

Come riconoscere una mail contenente il trojan

Come già detto, il malware viene inviato tramite comunicazioni email, tendenzialmente contenente il finto testo di una risposta ad una mail da noi precedentemente inviata. In allegato alla mail si trova un file DOC nominato “Richiesta.DOC”, oppure, “-Richiesta.Doc”.

Come capire se il nostro PC è infetto

Questo file contiene al suo interno una MACRO AutoOpen, che eseguendo il file cmd.exe riesce ad avviare PowerShell. Il cmd.exe esegue uno script di Powershell che fa partire il download dell’Ursnif e lo scarica nella cartella C:\Users\Public\ seguita da un numero (ad esempio C:\Users\Public\1111222.exe)

Seguici su: