Nella giornata del 14 novembre, una campagna mirata a diffondere il malware Remcos in Italia ha attirato l’attenzione degli esperti di sicurezza del CERT-AgID. Ciò che rende questa campagna rilevante non è tanto l’utilizzo del malware in sé, ma piuttosto le tecniche di diffusione adoperate, note come TTP.
La campagna fa leva su una falsa comunicazione dell’Agenzia delle Entrate, invitando le vittime a cliccare su un link per accedere al “Cassetto fiscale” e verificare presunte incongruenze nelle liquidazioni periodiche dell’IVA. Ciò che colpisce gli analisti è il parallelismo delle TTP utilizzate con quelle del noto malware Ursnif, che da qualche anno sfrutta il tema dell’Agenzia delle Entrate nelle sue campagne. Sebbene altri malware, come IcedId, PureLogs, e Mekoito, utilizzino anch’essi questo tema, Ursnif ne ha fatto il suo marchio distintivo.
Un elemento di novità è l’impiego di Remcos in questa campagna, il quale di solito non utilizza il tema dell’Agenzia delle Entrate. Tuttavia, l’analisi rivela altri parallelismi nelle TTP. Il file scaricato attraverso il link, per esempio, è un archivio ZIP che non contiene documenti ma un file di collegamento che punta ad una share SMB contenente un file eseguibile. La share è ospitata su server remoti in Russia e nella stessa sottorete di quelli utilizzati da Ursnif in precedenti campagne.
Il 15 novembre gli esperti del CERT-AgID hanno rilevato che la nuova campagna Remcos utilizza come share SMB 2 IP della rete Ursnif osservati di recente.
La tecnica di usare collegamenti a share SMB è solitamente utilizzata solo da Ursnif. Insieme al tema usato, questa costituisce un secondo elemento di similarità con le tecniche di diffusione del malware Ursnif. Vedere il malware Remcos venir diffuso come Ursnif offre spunti di riflessione interessanti.
Di solito, quando un malware adotta le stesse TTP di un altro, ciò può essere dovuto a due principali ipotesi:
- Acquisto del servizio Malware-as-a-Service (MaaS): gli attori dietro il malware hanno acquistato lo stesso servizio Malware-as-a-Service degli attori dietro l’altro malware. Questo può succedere per vari motivi: tutti i malware hanno generalmente bisogno di un dropper e di un packer e per soddisfare questi bisogni ci sono attori specializzati nello scrivere questi prodotti (ad esempio CodigoLoader, un dropper e packer molto diffuso al momento). Quindi è possibile che due malware operati da attori estranei usino TTP simili ma è anche possibile che due attori decidano di collaborare condividendo le proprie conoscenze.
- Cambio di attività: gli attori dietro al vecchio malware hanno deciso di cambiare tipologia di software malevolo. Le TTP sono un elemento molto importante nella riuscita di una campagna e ogni gruppo finisce sempre per perfezionarle in quella che ritiene sia la forma migliore, per cui il riutilizzo delle tecniche di diffusione delle campagne malware, anche a seguito del cambio di quest’ultimo, è ragionevole.
Nel caso specifico di Ursnif e Remcos, la prima ipotesi è considerata improbabile data l’unicità delle TTP di Ursnif. È improbabile, infatti, che queste siano state comprate come MaaS così come è anche improbabile che siano state condivise con altri attori, data la consolidata presenza di Ursnif nelle campagne italiane.
È ipotizzabile che gli attori dietro la recente campagna di Remcos siano gli stessi di Ursnif
Il motivo del cambio di malware è ancora incerto, così come è troppo presto determinare se Remcos affiancherà o sostituirà Ursnif. Ciò che è noto invece è la trasformazione che Ursnif ha subito negli ultimi 12-18 mesi, passando da strumento per Banking Trojan (un malware volto a manipolare le transazioni bancarie delle vittime) a strumento RAT (un malware volto al controllo della macchina vittima). Remcos è anch’esso un RAT e quindi questa mossa segue la direzione già osservata.
Si ipotizza che le attuali restrizioni sui sistemi di pagamento imposte dalla Unione Europea alla Russia, a seguito della guerra in Ucraina, abbiano influenzato questa transizione. Ursnif, specializzato nel dirottare transazioni bancarie, potrebbe aver trovato difficile mantenere redditizio il suo modello criminale originario. Queste restrizioni imposte dall’UE rendono infatti impossibile o quanto meno complicato effettuare pagamenti da uno stato membro UE verso la Russia. Il passaggio a un modello RAT consente agli attori di riposizionarsi come operatore IAB (Initial Access Broker), ovvero come attori capaci di fare ricognizione e vendere l’accesso a sistemi di vittime a gruppi criminali che usano ransomware e in grado di destabilizzare il tessuto produttivo di un paese.
Infine, gli attori dietro Ursnif avrebbero potuto riposizionarsi anche come strumento di Infostealer, un malware in grado di rubare le informazioni delle vittime. La scelta di Remcos di non essere un Infostealer solleva interrogativi su possibili motivazioni economiche o ideologiche dietro questa decisione.
