Dentro Ursnif, il trojan bancario più diffuso in Italia

martedì 1 dicembre 2020
Dentro Ursnif, il trojan bancario più diffuso in Italia

Da qualche tempo abbiamo cercato di dare spazio e risalto ai report riguardanti le utilissime analisi che il CERT-AgID svolge ogni settimana sui malware e le campagne di phishing più diffuse contro gli utenti italiani e nello spazio italiano. Cambiano i malware in diffusione, le tecniche di attacco, i contenuti delle truffe ma da mesi ormai c'è una presenza fissa, quella di Ursnif, un malware che nel Giugno del 2020 è entrato per la prima volta nella top 10 delle minacce rilevate, ottenendo uno stabile 5° posto. In Italia invece è stato il malware più diffuso nel primo semestre del 2020, con un impatto sulle aziende del 14% (mentre a livello mondiale si ferma al 2%): per fare un esempio, solo tra il 28 e il 30 Luglio 2020 sono stati inviati oltre 40.000 messaggi fake compromessi con Ursnif ad aziende italiane di ogni tipo. La campagna successiva contro utenti italiani, durata solo 1 giorno e mezzo dal 4 al 6 Agosto 2020, ha generato un flusso di oltre 25.000 email.

Insomma, abbiamo ritenuto utile un piccolo approfondimento, nella consapevolezza che questo malware non ha alcuna intenzione di andarsene e prenderà di mira aziende e professionisti ancora per molto tempo.

URSNIF: che cosa fa
Ursnif è a tutti gli effetti un efficace, letale e silenzioso malware finalizzato inizialmente al furto di informazioni finanziarie e bancarie: si è poi evoluto nel tempo, iniziando a prendere di mira molti altri tipi di dati tra i quali le credenziali email e di altri account e i dettagli della macchina utilizzata dalla vittima bersaglio. Una volta acceduto ad un account di posta, Ursnif cerca la rubrica contatti, continuando a diffondere l'email a tutti i nuovi indirizzi.

URSNIF: come si diffonde
La prima individuazione di Ursnif risale al 2018, quando fu messo in distribuzione attraverso campagne di malspam e phishing. Per essere precisi, è un trojan bancario il cui scopo principale è l'esfiltrazione delle credenziali bancarie e finanziarie dalle macchine infette. Nel tempo si è evoluto ed ha raggiunto un livello medio-alto di sofisticazione, accrescendo costantemente anche il numero di domini di comando e controllo registrati: questi sono identificabili a causa della presenza di diversi Domain Generation Algorithms (DGA) in diverse reti, la maggior parte dei quali registrati pochi giorni prima dell'avvio di una nuova campagna. Questi DGA altro non sono che algoritmi impiegati solitamente dai gestori di malware per generare periodicamente un grande numero di domini da usare per le campagne dannose.

Il metodo di attacco non è affatto fantascientifico, ma anzi, è piuttosto banale e fa leva sull'anello più debole della catena della cybersecurity, ovvero l'essere umano. La maggior parte delle email di phishing che recano questo malware infatti superano i filtri antispam, sia perimetrali che delle soluzioni antivirus, così molto spesso finiscono nella casella di posta dei dipendenti: basta un solo dipendente non necessariamente malintenzionato, ma semplicemente distratto o poco consapevole di questa tipologia di rischio, che scarica e apre l'allegato dannoso (solitamente un file Office di formato .xls, .xlm, .doc), abilita la macro ed il gioco è fatto.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Uno dei file Excel compromessi utilizzati in una campagna Ursnif. Fonte: Yoroi

Il download dell'eseguibile, ospitato in un server C&C, viene avviato dal codice contenuto nella macro: l'eseguibile sarà camuffato da file .CAB. Le tecniche di attacco sono poi andate variando nel tempo: ad esempio, in alcuni casi, il file .CAB viene sostituito da file VBS o JS, così come varia il livello di offuscamento del codice del file. In tutti i casi comunque, la prima operazi0ne che il malware compie è quella di eseguire tutte le azioni necessarie per garantirsi la persistenza sul sistema.

Un dato interessante è che il malware utilizza anche nuovi User Agent che imitano le famose piattaforme Zoom e Webex, in quello che pare essere un chiaro tentativo di integrarsi nel traffico di rete legittimo. Infatti, dopo il download, molteplici dispositivi avviano connessioni usando gli User Agent di Zoom o Webex verso domini che però non sono assolutamente correlati ai domini ufficiali di Zoom e Webex.

Questo rientra, insieme ad altri, in una lista di escamotage che il malware utilizza per evadere gli strumenti di individuazione delle soluzioni antivirus e di sicurezza presenti nei dispositivi e sulla rete: va detto che questi accorgimenti hanno, nel tempo, perso efficacia sia perché ormai sono migliaia gli indicatori di compromissione collegati a questo malware che sono già stati pubblicati, sia perchè almeno i principali vendor hanno provveduto a migliorare la capacità di individuazione delle proprie soluzioni grazie alla conoscenza, ormai piuttosto dettagliata salvo novità, di questo malware.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy