I ricercatori di Proofpoint hanno identificato un picco di minacce che colpiscono le organizzazioni italiane in gran parte guidato da un gruppo chiamato TA544 che sfrutta il trojan bancario Ursnif. Tracciato da Proofpoint nel 2017, TA544 distribuisce malware bancario e altri payload in varie regioni geografiche, tra cui Italia e Giappone.
Sebbene Ursnif sia utilizzato da più criminali informatici, l’attività di TA544 contro l’Italia lo differenzia dagli altri attori: tra gennaio e agosto 2021, il numero di campagne Ursnif contro organizzazioni italiane ha superato il numero totale di campagne Ursnif in tutto il 2020.
Nelle campagne osservate di recente, TA544 si spaccia per un corriere italiano o qualche organizzazione energetica che sollecitano pagamenti dall’utente preso di mira.
Allegati alle e-mail sono presenti documenti di Microsoft Office dannosi contenenti macro. Nel caso in cui le macro sono abilitate, il documento scaricherà il malware Ursnif.
Secondo i dati di Proofpoint, Ursnif è attualmente il malware più frequentemente osservato contro le organizzazioni italiane.
Web Inject
Le recenti campagne Ursnif TA544 includevano attività che prendevano di mira più siti con web inject e reindirizzamenti una volta installato il payload Ursnif sulla macchina di destinazione. L’elenco dei siti interessati include i portali di accesso relativi a:
- Gruppo UniCredit
- Agenziabpb
- NS
- BNL
- Ebay
- Amazon
- Paypal
- Banca Sella
- CheBanca!
- IBK
I web inject identificati sono progettati per rubare credenziali da un’ampia varietà di siti e servizi suscettibili di essere utilizzati dagli utenti italiani. TA544 è interessato anche a ottenere username e password affiliati a siti web associati ai maggiori rivenditori.
