Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo script […]

Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo […]

Nell’articolo precedente avevamo solo estratto i JJ chunk dal secondo stadio e avevamo visto come questo fosse sufficiente ad ottenere i primi IoC. Adesso è il momento di analizzare il secondo stadio nel dettaglio. YET ANOTHER URSNIF Questo è il settimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il […]

Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre […]

Due giorni fa abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android.Non avendo trovato riscontro circa l’identità di questo malware, lo abbiamo battezzato Oscorp, dal titolo della pagina di login del suo C2. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android […]

Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare […]

In data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è possibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna. Una volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il servizio di accessibilità che servirà per attivare le funzionalità di […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole attive, di cui 4 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 368 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]