Strela è un semplice stealer specializzato nel furto delle credenziali di posta dagli applicativi Thunderbird e Outlook.

L’infezione non usa TTP peculiari ed è essenzialmente un classico esempio di malware diffuso tramite packer. Una volta che il payload è in esecuzione, questo ruba gli account Thunderbird ed Outlook e li invia al C2.

Questa settimana una email con oggetto “Bonifici (SWIFT)” ha raggiunto le caselle di posta di diversi utenti italiani con una comunicazione che apparentemente sembra provenire dall’Istituto di Credito Relax Banking e che mostra nel corpo del messaggio l’anteprima miniaturizzata di due file PDF. Le vittime sono quindi spinte a cliccare su tali anteprime con l’intenzione […]

Recentemente D3Lab ha rilevato e condiviso con il CERT-AgID un campione di malware per dispositivi Android individuato in una campagna di smishing rivolta verso utenti italiani. La campagna è veicolata tramite link riportato in un SMS e la pagina di download risulta visibile solo se visitata da un browser che si presenti con User-Agent Android. […]

Gli analisti di CERT-AgID hanno osservato GuLoader in Italia per la prima volta verso la fine mese di marzo 2021. Nell’arco dello scorso anno sono state registrate solo 6 campagne che utilizzavano GuLoader sfruttando il tema “Pagamenti“, “Preventivo” e “Ordine” con lo scopo di veicolare il malware AgentTesla ed in un solo caso si è […]

Questo articolo è un approfondimento tecnico effettuato sul campione individuato dal CERT-AgID nel mese di Maggio 2022 che aiuta a svelare la natura del malware Coper, utilizzato di recente da campagne malware che prendevano di mira dispositivi mobili, e che fornisce interessanti spunti di riflessione sulle tecniche utilizzate dai suoi sviluppatori per proteggere il sample, […]

Negli articoli precedenti abbiamo visto l’architettura del C2, in questo mostriamo alcune vulnerabilità facili da identificare. Sebbene semplici, queste vulnerabilità permettono (o meglio lo permettevano) di arrivare ad installare shell PHP sul C2. YAU – YET ANOTHER URSNIF Questo è il sedicesimo di una serie di articoli, tutti raggruppati qui. Credenziali di default Nella root […]

Dopo la breve panoramica sull’interfaccia del C2, è il momento di mettere mano ai sorgenti. Vedremo in questo articolo come recuperarli e ne descriveremo l’architettura (MVC) usata.L’analisi completa dei sorgenti non è affrontata poichè non di eccessivo interesse, si tratta di codice piuttosto semplice scritto in un linguaggio altrettanto semplice, per cui eventuali approfondimenti sono […]

Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal […]

Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]

Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un […]