L’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif: dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume. Lo denuncia il CERT-AgID il quale ha contribuito al contrasto di questa ondata condividendo i dati relativi agli specifici IoC.
Il solo numero di indicatori individuati (più di 1200) rende l’idea della dimensione del fenomeno, comunica il CERT-AgID.
Ursnif è noto per variare spesso le sue TTP: la tecnica maggiormente sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento ospitata su un server compromesso da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica).
Durante le azioni legate all’analisi e al contrasto del fenomeno è stato possibile recuperare alcune informazioni lasciate disponibili nelle pagine di smistamento. Queste sono localizzate su un unico server di backend dal quale sono state ricavate abbastanza liberamente informazioni sulle sue attività.
I dati delle campagne
I dati ritrovati contengono informazioni come indirizzo IP, User-Agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno visitato la pagina di smistamento. Queste visite non corrispondono esattamente al numero di infezioni avvenute poiché un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perché una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia, vi è un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Di seguito sono riportati i numeri relativi alle “visite” e non alle “infezioni”.
Al momento dell’analisi dei dati erano quasi 380.000 le visite alle pagine di smistamento. Il backend usato per indirizzare le vittime al payload è in grado di rilevare se la visita proviene da uno strumento automatico, ad esempio un motore di ricerca, per cui delle 380.000 visite solo 40.000 sono state classificate come provenienti da strumenti automatici.
Le visite distribuite per giorno
Due particolari risultano rilevanti in questo grafico:
- Il numero di visite è piuttosto elevato, con picchi che toccano quasi 70.000 visite al giorno.
- I picchi corrispondono ai giorni in cui sono iniziate le quattro campagne Ursnif che hanno interessato l’Italia nelle ultime due settimane.
Queste campagne Ursnif sono principalmente concentrate nel mezzo della settimana (tra mercoledì e giovedì) ma lunedì 6 marzo Ursnif ha lanciato un’ulteriore campagna che ha prodotto notevoli risultati in termini di visite.
L’ora salvata nelle informazioni delle visite non è di facile interpretazione poiché non comprende il fuso orario. Ipotizzando che gli orari siano in UTC, la heatmap mostra che le visite siano raggruppate tutte nella prima parte della giornata (l’Italia è un’ora avanti rispetto agli orari osservati). Il CERT-AgID evidenzia un picco nella notte tra il 6 ed il 7 marzo che non è di facile interpretazione, probabilmente dovuto a motori di ricerca o a spillover in altri Paesi.
Visite per lingua
È evidente, come si evince dai dati, che la campagna risulta mirata all’Italia ma solo poco più della metà delle visite è italiana. L’altra grande fetta è di lingua inglese. Probabilmente generata da strumenti automatici (sandbox) dato che si tratta di visite localizzate in specifici punti geografici anziché essere distribuite più o meno uniformemente nei paesi anglofoni.
Visite per sistema operativo, browser e dispositivo
La maggior parte delle visite avviene da dispositivi in cui è presente il sistema operativo Windows, l’altra grande fetta riguarda i dispositivi mobili (Android, iOS) e solo in misura minore macOS e Linux (il meno usato di tutti). Questo, ancora una volta, spiega il perché dell’ampia diffusione di malware per sistemi Windows rispetto ad altri sistemi operativi.
La maggior parte dei dispositivi che hanno visitato la pagina di smistamento erano quindi Personal Computer, in sintonia con il grafico dei sistemi operativi. La fetta di dispositivi mobili costituisce comunque quasi un 30% del totale anche se Ursnif non si è mai volutamente espanso al settore mobile.
Visite per indirizzi IP
È possibile raggruppare le visite per indirizzo IP, in modo da osservare quante volte un singolo indirizzo IP ha visitato una delle pagine di smistamento. Visite multiple si possono attribuire ai meccanismi di NAT o a connessioni condivise. Per rendere il grafico leggibile viene mostrato solo il numero di visite reiterate se sono presenti almeno 1000 IP diversi con tale numero.
La maggior parte degli IP ha visitato le pagine una sola volta ma più di 20.000 IP le hanno visitate due volte e più di 2000 per ben 10 volte. Come già detto dagli esperti precedentemente, ciò si può spiegare con connessioni o indirizzi condivisi (es: in caso di aziende o PA dietro sistemi indirizzati via NAT o dietro proxy, in cui due o più dipendenti visitino il link) o per via dell’utilizzo di strumenti di analisi/automatici.
Visite per provenienza IP
Per concludere questa disamina, è sicuramente significativo mostrare sulla mappa le posizioni degli IP che hanno visitato le pagine di smistamento.
È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio, questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia, conclude il CERT-AgID.
