Riprende, a distanza di un mese dalla precedente, la campagna di malspam via PEC per veicolare malware sLoad utilizzando la consolidata tecnica dell’allegato ZIP con un ulteriore file ZIP annidato al suo interno, contenente uno script WSF con funzionalità di dropper, utilizzato per scaricare sLoad da un repository remoto.

Siamo abituati ad osservare numerose campagne di phishing IntesaSanpaolo, oggi per la prima volta siamo venuti in possesso di una email scritta in lingua italiana con allegato ZIP e in calce la firma “Intesa Sanpaolo”. Grazie alla segnalazione di D3Lab, che ci ha condiviso il sample non appena individuato, abbiamo provveduto ad analizzare il campione […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 19 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 17 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 547 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Negli articoli precedenti abbiamo visto l’architettura del C2, in questo mostriamo alcune vulnerabilità facili da identificare. Sebbene semplici, queste vulnerabilità permettono (o meglio lo permettevano) di arrivare ad installare shell PHP sul C2. YAU – YET ANOTHER URSNIF Questo è il sedicesimo di una serie di articoli, tutti raggruppati qui. Credenziali di default Nella root […]

Dopo la breve panoramica sull’interfaccia del C2, è il momento di mettere mano ai sorgenti. Vedremo in questo articolo come recuperarli e ne descriveremo l’architettura (MVC) usata.L’analisi completa dei sorgenti non è affrontata poichè non di eccessivo interesse, si tratta di codice piuttosto semplice scritto in un linguaggio altrettanto semplice, per cui eventuali approfondimenti sono […]

Una nuova campagna malspam via PEC per veicolare sLoad è stata individuata in data odierna a partire dalla mezzanotte e terminata alle ore 08:52. La campagna, a tema “Pagamenti”, risulta identica, per tipologia di contenuti e metodo di diffusione, ai due precedenti eventi sLoad individuati in data 11 gennaio e 8 febbraio 2020. L’e-mail con […]

Dopo Ransomware2.0, il malware razzista di cui si è discusso a metà mese, KeRnSoMwArE è il secondo esempio di ransomware in fase di sviluppo rilevato a febbraio dai ricercatori Malware Hunter Team e prontamente condiviso da JamesWT_MHT con il CERT-AGID. È abbastanza evidente che il sample individuato è ancora in fase test ma dispone già […]

Negli articoli precedenti abbiamo analizzato le componenti di Ursnif che sono eseguite sulla macchina della vittima. Per questo malware è possibile fare altrettanto facilmente un’analisi del C2, vedremo infatti come alcune vulnerabilità dell’infrastruttura e software del server ci permettano di ottenere varie informazioni. In questo articolo vedremo la console di amministrazione che gli autori di […]

Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal […]

Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]