Il CERT-AGID ha evidenza di una campagna malevola, attualmente in corso, volta a veicolare il malware Ursnif tramite una e-mail che riporta una falsa comunicazione della Agenzia delle Entrate.

L’e-mail invita la vittima a prendere visione delle informazioni presenti nell’archivio (ZIP) allegato che, a differenza delle campagne Ursnif già analizzate in precedenza, contiene una cartella denominata “Dicembre“, all’interno della quale sono presenti due file: un Internet Shortcut denominato “Dicembre.url” ed una immagine “Logo_Agenzia_Entrate.jpg“.

L’eseguibile di Ursnif viene scaricato ed eseguito sui sistemi Windows tramite le istruzioni presenti nel file “Dicembre.url” (Internet Shortcut) seguendo il percorso evidenziato in URL (SMB).

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC