Campagna Ursnif veicolata tramite falsa mail BRT
brt Ursnif
In data odierna il CERT-AGID, grazie ad una segnalazione, ha rilevato una intensa attività di malspam volta a distribuire il malware Ursnif. Il vettore iniziale prevede un finta email proveniente dal Gruppo Bartolini, dove è citata una fantomatica spedizione in consegna.
L’email, scritta in un italiano corretto, presenta un allegato con estensione .xls malevolo:
![](https://cert-agid.gov.it/wp-content/uploads/2021/09/2021-09-20-12_50_01-Fwd_-BRT-Avviso-affidamento-spedizione-08100473857229147-ID5982405-Mozilla-1024x691.png)
L’allegato malevolo si presenta così:
![](https://cert-agid.gov.it/wp-content/uploads/2021/09/2021-09-20-12_55_47-2021-DDT-0004276.xls-Visualizzazione-protetta-Excel-1024x648.png)
La macro presente nel file .xls è di seguito riportata già deoffuscata:
![](https://cert-agid.gov.it/wp-content/uploads/2021/09/2021-09-20-13_21_31-C__Users_victorindi_Downloads_macro.vba-Notepad.png)
Si può notare come l’esecuzione della macro permette al file .xls di contattare la risorsa https[:]//FLaSHgRan.com e scaricare il secondo stadio .dll.
L’esecuzione del codice prosegue contattando ulteriori due domini in grado di scaricare il 3° stadio, anch’esso un file .dll.
Indicatori di compromissione
Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.
Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:
Link: Download IoC