Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene […]

Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc. A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 24 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 23 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 299 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

[Articolo aggiornato a seguito di ulteriori accertamenti] L’indirizzo PEC visibile nell’e-mail è reale e la campagna sembra essere partita da un indirizzo IP localizzato in Nuova Zelanda. L’account PEC è uno dei tanti indirizzi utilizzati per questa campagna ma non risulta essere stato utilizzato per inoltrare massivamente la campagna verso altre utenze PEC. Il testo, […]

Nell’articolo precedente avevamo introdotto le categorie di macro usate da Ursnif nel corso del tempo. Lo schema riassuntivo è il seguente. In questo articolo affronteremo le tre categorie di macro, vedremo quali strumenti sono a disposizione dell’analista e se è possibile automatizzare l’analisi. Yet Another Ursnif Questo è il secondo di una seria di articoli, […]

Ursnif è un malware ben conosciuto in letteratura, le informazioni che lo riguardano risalgono all’inizio del precedente1 decennio (circa 2012). Le campagne di Ursnif si presentano con frequenza quasi quotidiana ed è ormai molto raro che la settimana trascorra senza che gli autori di questo malware provino ad infettare quante più macchine possibile con l’ennesima […]

È stata rilevata in data odierna, ed è ancora in fase di contrasto, una campagna malspam sLoad a tema “Pagamenti” che ha come oggetto Fattura [RAGIONE SOCIALE].La campagna è veicolata via PEC verso altri utenti PEC e fa uso di un allegato ZIP contenente un ulteriore file ZIP. All’interno del secondo ZIP sono presenti due […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 17 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 16 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 129 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

È in corso una campagna malspam volta a veicolare un malware facendo leva sul recente programma di rimborso in denaro per acquisti effettuati con strumenti di pagamento elettronici, meglio noto come Cashback di Stato. L’email, della quale si riporta lo screenshot, è pervenuta al Cert-AgID grazie alla rilevazione e alla tempestiva segnalazione di D3Lab che […]

E’ stata segnalata al CERT-AGID un’e-mail di phishing che sfrutta i marchi Poste Italiane e SPID. L’email scritta in italiano, facendo leva sulla popolarità recentemente raggiunta dal servizio Spid e del provider accreditato (AgID) Poste, invita le vittime a visitare un link per accettare le modifiche contrattuali entro 12 ore. Cliccando sul link vengono effettuati […]