Ursnif insiste ad attaccare obiettivi della PA. Oggi tocca nuovamente alla Agenzia delle Entrate

21/09/2020

Agenzia Entrate Ursnif

Nel 2020 le campagne Ursnif veicolate in Italia e osservate dal CERT-AgID sono state incentrate su tematiche inerenti argomenti come “fatture”, “spedizioni/corrieri” e, sporadicamente, obiettivi riguardanti le PP. AA.

A partire dal mese di luglio 2020 i criminali che gestiscono il malware Ursnif stanno perfezionando le campagne italiane puntando sempre di più su obiettivi della PA ed in particolare, su INPS e Agenzia delle Entrate.

Nonostante gli errori grammaticali evidenti nel corpo del messaggio, il gruppo criminale prova a sfruttare le notizie o le comunicazioni attuali che coinvolgono la PA italiana e, stando alle ultime campagne, sembrano poi utilizzare le stesse metodologie per veicolare il malware.

La campagna odierna relativa all’Agenzia delle Entrate, è molto simile a quella veicolata di recente ai danni di utenti INPS. In entrambi i casi erano presenti:

  • allegato con macro Excel4
  • una url presente in chiaro, come se non si volesse perdere troppo tempo ad offuscare il codice
  • il download di una dll. Nel caso INPS contabilita.dll nel caso Agenzia Entrate officina.dll
  • query DNS che nei casi esaminati coincidono e risultano note dal mese di maggio 2020:

Gli unici elementi differenti sono i C2 ed i repository, solitamente domini precedentemente compromessi, da cui avviene il download del sample.

La campagna ai danni di utenti dell’Agenzia delle Entrate è attualmente in corso e i criminali stanno rilasciando nuovi sample a distanza di qualche ora. Il CERT-AgID sta provvedendo a censire i sample individuati e ad aggiornare gli indicatori di compromissione a tutela delle proprie strutture accreditate.

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulle piattaforme CNTI e MISP di CERT-AgID:

Link: Download IoC