Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo […]

Il 27 gennaio 2021 il Dipartimento di Giustizia degli Stati Uniti ha comunicato con un avviso pubblico, l’arresto di un cittadino canadese legato a NetWalker, ransomware di cui avevamo parlato in una news lo scorso novembre 2020. NetWalker, inteso come gruppo criminale, avrebbe raccolto, a seguito di tre distinti attacchi, 454.530 dollari dalle vittime, tra […]

Il CERT-AGID ha ricevuto segnalazione di un SMS di phishing ai danni di clienti Poste Italiane. Il link riportato nel messaggio (SMS) punta ad una pagina clone del sito di Poste Italiane. Perchè è malevolo? La pagina si può identificare come malevola da una serie di elementi.Il primo, riguarda il dominio utilizzato (lc-pi-com[.]preview-domain[.]com), che oltre […]

Nell’articolo precedente avevamo solo estratto i JJ chunk dal secondo stadio e avevamo visto come questo fosse sufficiente ad ottenere i primi IoC. Adesso è il momento di analizzare il secondo stadio nel dettaglio. YET ANOTHER URSNIF Questo è il settimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 155 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre […]

Due giorni fa abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android.Non avendo trovato riscontro circa l’identità di questo malware, lo abbiamo battezzato Oscorp, dal titolo della pagina di login del suo C2. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android […]

Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare […]

In data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è possibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna. Una volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il servizio di accessibilità che servirà per attivare le funzionalità di […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole attive, di cui 4 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 368 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]