Ad un mese esatto torna la campagna Ursnif a tema Agenzia Entrate
Agenzia Entrate inps Ursnif
Prosegue insistentemente, per il terzo giorno consecutivo, la campagna malspam Ursnif italiana oggi veicolata a tema Agenzia delle Entrate. L’ultima campagna con le medesime caratteristiche è stata osservata il 21 settembre 2020, esattamente 1 mese fa.
Le e-mail di oggi sono tutte dello stesso stampo, cambia naturalmente il file XLS allegato e l’oggetto del messaggio: Il direttore dell’Agenzia delle Entrate o Informazione Agenzia delle Entrate.
Similitudini tra le campagne Ursnif INPS e Agenzia Entrate
Mettendo a confronto le due campagne Ursnif, quella di ieri a tema “INPS” e quella di oggi a tema “Agenzia Entrate” è possibile osservare importanti similitudini nei nomi file delle DLL, nel nomi dei domini utilizzati per veicolare le DLL, nei nomi dominio del C2, nei TLD e nel servizio utilizzato per registrare i domini dei repository.
| INPS | AGENZIA ENTRATE | |
| XLS | richiesta password all’apertura | richiesta password all’apertura |
| Nome DLL | installa.dll | installa.dll |
| Registrar | Namecheap | Namecheap |
| Repository DLL | http://linksystems[.casa/installa[.dll | http://livesystems[.casa/installa[.dll |
| Repository DLL | http://systemlinks[.casa/installa[.dll | http://blogilive[.casa/installa[.dll http://blogilive[.bar/installa[.dll |
| Repository DLL | http://linksystems[.bar/installa[.dll | http://livesystems[.bar/installa[.dll |
| Repository DLL | http://systemlinks[.cyou/installa[.dll | http://livesystems[.cyou/installa[.dll |
| Repository DLL | http://systemlinks[.casa/installa[.dll | http://blogilive[.casa/installa[.dll |
| C2 | http://windowclient[.com/images | http://windowstats[.com/images/ |
Anomalia delle ore 17
Poco dopo le ore 17 abbiamo avuto evidenza di una nuova ondata di Ursnif apparentemente pasticciata. Questa volta il tema è INPS e riporta il logo dell’Istituto e l’oggetto della mail parla chiaro: “Istituto Nazionale Previdenza Sociale“. Ma la password anzichè “2020” o “inps“, che sono quelle utilizzate per le campagne INPS precedenti, è rimasta “agenzia“.
La catena di infezione risulta essere identica, la DLL viene scaricata da uno dei repository già utilizzati per la campagna odierna Agenzia Entrate ed il C2 è rimasto invariato.
Indicatori di Compromissione
Il CERT-AGID ha diramato attraverso i propri canali CNTI e MISP gli indicatori di compromissione censiti per la campagna veicolata in data odierna a tutela delle strutture accreditate.
Link: Download IoC