Il fenomeno Ursnif in Italia: i numeri dell’ultima ondata di campagne
Ursnif
Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume.
Il CERT-AgID ha contribuito al contrasto di questa ondata condividendo i dati relativi agli specifici IoC tramite il suo apposito servizio e tramite post sui suoi canali social (Telegram e Twitter).
Il solo numero di indicatori individuati (più di 1200) rende l’idea della dimensione del fenomeno.
Ursnif è noto per variare spesso le sue TTP: la tecnica maggiormente sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento ospitata su un server compromesso da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica).
Durante le azioni legate all’analisi e al contrasto del fenomeno è stato possibile recuperare alcune informazioni lasciate disponibili nelle pagine di smistamento. Queste sono localizzate su un unico server di backend dal quale sono state ricavate abbastanza liberamente informazioni sulle sue attività.
Questo tipo di informazioni ci hanno permesso di effettuare un’analisi più dettagliata sull’entità delle ondate di malware a cui abbiamo assistito.
I dati delle campagne
I dati ritrovati contengono informazioni come indirizzo IP, User-Agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno visitato la pagina di smistamento. Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.
Al momento dell’analisi dei dati erano quasi 380.000 le visite alle pagine di smistamento. Il backend usato per indirizzare le vittime al payload è in grado di rilevare se la visita proviene da uno strumento automatico, ad esempio un motore di ricerca, per cui delle 380.000 visite solo 40.000 sono state classificate come provenienti da strumenti automatici.
Le visite distribuite per giorno
[E’ disponibile una versione interattiva di questo grafico]
Due particolari risultano rilevanti in questo grafico:
- Il numero di visite è piuttosto elevato, con picchi che toccano quasi 70.000 visite al giorno.
- I picchi corrispondono ai giorni in cui sono iniziate le quattro campagne Ursnif che hanno interessato l’Italia nelle ultime due settimane.
La heatmap
Può risultare interessante provare ad usare una heatmap per evidenziare eventuali ricorrenze nelle TTP di Ursnif. In particolare, provare a disegnare una mappa dei giorni e delle ore più “calde”, ovvero con più visite:
[E’ disponibile una versione interattiva di questo grafico]
Si può notare come le campagne Ursnif siano pricipalmente concentrate nel mezzo della settimana (tra mercoledì e giovedì) ma lunedì 6 marzo Ursnif ha lanciato un’ulteriore campagna che ha prodotto notevoli risultati in termini di visite.
L’ora salvata nelle informazioni delle visite non è di facile interpretazione poichè non comprende il fuso orario. Ipotizzando che gli orari siano in UTC, la heatmap mostra che le visite siano raggruppate tutte nelle prima parte della giornata (l’Italia è un’ora avanti rispetto agli orari mostrati). Si evidenzia un picco nella notte tra il 6 ed il 7 marzo che non è di facile interpretazione, probabilmente dovuto a motori di ricerca o a spillover in altri Paesi.
Visite per lingua
È evidente, come si evince dai dati, che la campagna risulta mirata all’Italia ma solo poco più della metà delle visite è italiana. L’altra grande fetta è di lingua inglese. Probabilmente generata da strumenti automatici (sandbox) dato che si tratta di visite localizzate in specifici punti geografici anzichè essere distribuite più o meno uniformemente nei paesi anglofoni.
[E’ disponibile una versione interattiva di questo grafico]
Visite per sistema operativo, browser e dispositivo
A scopo puramente conoscitivo, può essere interessante classificare le visite in base al loro sistema operativo, browser e dispositivo utilizzato:
[E’ disponibile una versione interattiva di questo grafico]
Si nota che la maggior parte delle visite avviene da dispositivi in cui è presente il sistema operativo Windows, l’altra grande fetta riguarda i dispositivi mobili (Android, iOS) e solo in misura minore macOS e Linux (il meno usato di tutti). Questo, ancora una volta, spiega il perchè dell’ampia diffusione di malware per sistemi Windows rispetto ad altri sistemi operativi.
[E’ disponibile una versione interattiva di questo grafico]
I dati sui browser usati non inducono a particolari spunti ma riflettono più che altro le preferenze degli utenti.
[E’ disponibile una versione interattiva di questo grafico]
La maggior parte dei dispositivi che hanno visitato la pagina di smistamento erano quindi Personal Computer, in sintonia con il grafico dei sistemi operativi. La fetta di dispositivi mobili costituisce comunque quasi un 30% del totale anche se Ursnif non si è mai volutamente espanso al settore mobile.
Visite per indirizzi IP
E’ possibile raggruppare le visite per indirizzo IP, in modo da osservare quante volte un singolo indirizzo IP ha visitato una delle pagine di smistamento. Visite multiple si possono attribuire ai meccanismi di NAT o a connessioni condivise. Per rendere il grafico leggibile viene mostrato solo il numero di visite reiterate se sono presenti almeno 1000 IP diversi con tale numero.
[E’ disponibile una versione interattiva di questo grafico qui]
La maggior parte degli IP ha visitato le pagine una sola volta ma più di 20.000 IP le hanno visitate due volte e più di 2000 per ben 10 volte. Come già detto sopra, questo si può spiegare con connessioni o indirizzi condivisi (es: in caso di aziende o PA dietro sistemi indirizzati via NAT o dietro proxy, in cui due o più dipendenti visitino il link) o per via dell’utilizzo di strumenti di analisi/automatici.
Visite per provenienza IP
Per concludere questa disamina, è sicuramente significativo mostrare sulla mappa le posizioni degli IP che hanno visitato le pagine di smistamento.
[E’ disponibile una versione interattiva di questo grafico]
È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate pricipalmente per l’Italia.
Uno zoom specifico per l’Italia mostra in dettaglio il fenomeno: