Qualche giorno fa, il CERT Pubblica Amministrazione, ha pubblicato i dati relativi al monitoraggio delle campagne di email di spam/dannose diffuse in Italia nel mese di Maggio 2019: sono tutte campagne per le quali il CERT_PA ha prodotto e condiviso gli indicatori di compromissione.
In termini generali, colpisce una altissima percentuale di eventi legati alla diffusione di malware di tipo ransomware, seguita da una vera e propria ondata di Trojan Bancari (che ha colpito anche nel settore privato) e da ampie campagne di spear phishing mirate principalmente al furto di credenziali istituzionali
Per quanto riguarda le campagne malware che riguardano sia strutture pubbliche che private, la situazione è in stallo da qualche mese: la maggior parte di queste campagne, che non accennano affatto ad arrestarsi, diffondono due malware pensati per il furto di credenziali bancari. Stiamo parlando dei trojan bancari Ursnif e Gootkit.
Tra i ransomware, protagonista assoluto è stato GandCrab, ma risale a qualche giorno fa l'annuncio, da parte dei suoi sviluppatori, della sospensione di ogni attività, dopo un ricavo complessivo (cioè per l'intera rete di affiliati) di oltre 2 miliardi di dollari.
Meno conosciuto, ma altrettanto pericoloso, è FormBook: se in passato questo malware era diffuso solo contro target ben precisi nell'arco di campagne mirate, di recente viene diffuso in maniera massiva, senza mirare a precisi obiettivi. Insomma è passato dall'essere uno spyware per lo spionaggio industriale ad un malware adatto ad ogni tipo di utenza. Formbook è un malware pericoloso, perché facilissimo da usare (non richiede grandi competenze di programmazione), ma ha funzionalità complete di spyware: registra tutto ciò che viene digitato sulla tastiera, ruba i dati dagli appunti, ruba le password salvate nei browser e nei client di posta elettronica ed esegue perfino screenshot dello schermo.
In merito a questi malware, è utile far notare un dettaglio importante che il CERT-PA ha ricostruito assieme al ricercatore indipendente JAMESWT_MHT: molte delle campagne di diffusione di Ursnif sono risultate "difettose", con malfunzionamenti o errori nei link contenuti nel corpo email oppure ancora con l'assenza, nell'allegato compromesso, dei payload necessari a compromettere il sistema. Una pistola senza proiettili, per intendersi. Ad esempio il 31 Maggio c'è stata una campagna di malspam per diffondere Ursnif nella quale l'allegato dannoso, da scaricare via link contenuto nel corpo email, non conteneva il file VBS necessario per l'infezione.
Il CERT-PA conclude il breve paper con alcuni dati di monitoraggio molto recenti, dal 20 al 30 Maggio 2019, mostrando un contesto interessante:
Ursnif è diffuso tutti i giorni della settimana, sempre con allegati XLS o VBS contenuti in archivi compromessi protetti da password, più raramente diffusi tramite link.
GootKit viene diffuso in coppia con Ursnif, ma la diffusione si concentra quasi esclusivamente in due giorni della settimana: Martedì e Mercoledì.
Il Giovedì, solitamente, Ursnif viene affiancato da altre tipologie di malware: Giovedì 23 Maggio era diffuso insieme a GandCrab e Formbook, Giovedì 30 invece assieme a Lokibot.
Questi dati indicano una precisa logica organizzativa, che ricorre ad un metodo di diffusione ricorsivo e standard di malware, con una chiara preferenza per i giorni feriali nella diffusione dei malware, a fine di massimizzazione del profitto.