Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]

Si è autobattezzato Ransomware2.0 (versione 1.0.0) ma a parte il fatto di essere razzista contro i napoletani, di nuovo ha ben poco. Il CERT-AGID ne è venuto a conoscenza grazie al contributo dei ricercatori di Malware Hunter Team che hanno rilevato il sample in data odierna. Il malware è scritto in .NET e il codice […]

Un breve PDF tecnico che analizza il codice di Android alla scoperta di come SELinux e altre funzionalità Linux siano usate per isolare le app e contenere le conseguenze di vulnerabilità Local Privilege Escalation. Scarica il PDF.

Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 3 generiche veicolate anche in Italia e 32 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il […]

Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo script […]

Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo […]