Il CERT-AGID ha emesso un avviso relativo a una campagna in corso contro utenze italiane volta a veicolare il malware Ursnif attraverso una email in cui si chiede di prendere visione di un documento allegato dell’Agenzia delle Entrate contenente informazioni riguardanti presunte “incoerenze” emerse nel trimestre 2021.

L’allegato è un file ZIP denominato “documento” o “agenzia” e protetto da password (“gennaio2022“, riportata nel corpo del messaggio) che contiene al suo interno un file di tipo VBE.

Si tratta di un VBScript codificato che punta al download di un file “image.txt” ospitato su domini differenti creati anticipatamente per essere utilizzati al momento opportuno.

I domini in questione sono entrate[.]barfiscale[.]bar e agenziaitaliane[.]bar. Risultano registrati su Namecheap in data 12/03/2021 ed i loro IP sono localizzati in California ed a Mosca.

Il file image.txt è in realtà la DLL di Ursnif che viene registrata ed eseguita dallo script VBE e che provvede immediatamente a comunicare con una lista di C2 codificata dentro la DLL.

Le campagne Ursnif registrate nel 2021 dal CERT-AGID sono state complessivamente 52 di cui 3 a tema “Agenzia delle Entrate”. Gli esperti spiegano che ad oggi non era ancora stata osservata una campagna Ursnif italiana che utilizzasse file VBE come dropper.

Il CERT-AGID ha consigliato di prestare particolare attenzione a questo tipo di comunicazioni che spesso imitano comunicati reali emessi dalla Pubblica Amministrazione comunicando la casella malware@cert-agid.gov.it per eventuali segnalazioni di campagne malware o file sospetti e ha preventivamente condiviso gli IoC con le proprie organizzazioni accreditate.

 

https://cert-agid.gov.it/news/in-atto-campagna-massiva-gozi-urnsif-veicolata-come-una-comunicazione-della-agenzia-delle-entrate/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE