yau 05/03/2021

YAU – Parte 16 – Il C2, vulnerabilità

Negli articoli precedenti abbiamo visto l’architettura del C2, in questo mostriamo alcune vulnerabilità facili da identificare. Sebbene semplici, queste vulnerabilità permettono (o meglio lo permettevano) di arrivare ad installare shell PHP sul C2. YAU – YET ANOTHER URSNIF Questo è il sedicesimo di una serie di articoli, tutti raggruppati qui. Credenziali di default Nella root […]

yau 02/03/2021

YAU – Parte 15 – Il C2, i sorgenti e l’architettura

Dopo la breve panoramica sull’interfaccia del C2, è il momento di mettere mano ai sorgenti. Vedremo in questo articolo come recuperarli e ne descriveremo l’architettura (MVC) usata.L’analisi completa dei sorgenti non è affrontata poichè non di eccessivo interesse, si tratta di codice piuttosto semplice scritto in un linguaggio altrettanto semplice, per cui eventuali approfondimenti sono […]

PEC sLoad 01/03/2021

Campagna sLoad via PEC con solito allegato doppio ZIP

Una nuova campagna malspam via PEC per veicolare sLoad è stata individuata in data odierna a partire dalla mezzanotte e terminata alle ore 08:52. La campagna, a tema “Pagamenti”, risulta identica, per tipologia di contenuti e metodo di diffusione, ai due precedenti eventi sLoad individuati in data 11 gennaio e 8 febbraio 2020. L’e-mail con […]

Kernsomware ransomware 27/02/2021

KeRnSoMwArE un ransomware italiano ancora in fase test

Dopo Ransomware2.0, il malware razzista di cui si è discusso a metà mese, KeRnSoMwArE è il secondo esempio di ransomware in fase di sviluppo rilevato a febbraio dai ricercatori Malware Hunter Team e prontamente condiviso da JamesWT_MHT con il CERT-AGID. È abbastanza evidente che il sample individuato è ancora in fase test ma dispone già […]

riepilogo 26/02/2021

Sintesi riepilogativa delle campagne malevole nella settimana 20-26 febbraio 2021

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 30 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

yau 25/02/2021

YAU – Parte 14 – Il C2, panoramica

Negli articoli precedenti abbiamo analizzato le componenti di Ursnif che sono eseguite sulla macchina della vittima. Per questo malware è possibile fare altrettanto facilmente un’analisi del C2, vedremo infatti come alcune vulnerabilità dell’infrastruttura e software del server ci permettano di ottenere varie informazioni. In questo articolo vedremo la console di amministrazione che gli autori di […]

yau 23/02/2021

YAU – Parte 13 – Il client, comandi e trasmissione al C2

Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal […]

riepilogo 19/02/2021

Sintesi riepilogativa delle campagne malevole nella settimana 13-19 febbraio 2021

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 5 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 288 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

yau 19/02/2021

YAU – Parte 12 – Il client, da powershell ad explorer.exe e ai browser

Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]

ransomware ransomware2.0 17/02/2021

Il Ransomware razzista

Si è autobattezzato Ransomware2.0 (versione 1.0.0) ma a parte il fatto di essere razzista contro i napoletani, di nuovo ha ben poco. Il CERT-AGID ne è venuto a conoscenza grazie al contributo dei ricercatori di Malware Hunter Team che hanno rilevato il sample in data odierna. Il malware è scritto in .NET e il codice […]