È stata scoperta una massiccia campagna malspam che, attraverso allegati malevoli con riferimento alla fatturazione elettronica, attacca i pc delle aziende e quelli delle pubbliche amministrazioni

La notizia è di questi giorni e viene direttamente dai ricercatori di Yoroi: è stata individuata una massiccia campagna di malspam che sta colpendo aziende e pubbliche amministrazioni, utilizzando contenuti di tipo amministrativo con riferimenti alla fatturazione elettronica.

La mail malevola contiene un allegato Excel che, una volta aperto, è in grado di infettare il pc del malcapitato con una pericolosa variante del malware Ursnif.

Ursnif è un cosiddetto “banking trojan” e cioè un virus che si installa dopo l’apertura di un file che contiene una stringa di codice particolare e che ha il fine di rubare le credenziali dell’home banking degli utenti infettati. Questo virus aveva iniziato a diffondersi qualche mese fa, creando non poche vittime.

La particolarità del caso specifico è che il file Excel infettato è stato realizzato per colpire espressamente gli utenti italiani, il codice malevolo infatti è stato realizzato per attivarsi solo se il pacchetto Office sul computer del ricevente è configurato per utilizzare la lingua italiana.

Il malware della fattura elettronica, per infettare i pc dei malcapitati, utilizza una particolare tecnica chiamata “tecnica steganografica”. Questo metodo era usato in passato per mascherare le comunicazioni in campo militare, nascondendo delle informazioni in un documento.

Ursnif fa proprio questo: analizzando il codice della mail infetta infatti è possibile individuare un’immagine di Super Mario, il famoso idraulico del Nintendo, che in realtà nasconde una stringa malevola per avviare l’installazione del virus, una volta aperto l’allegato Excel. A quel punto l’hacker può entrare, attraverso una backdoor, all’interno del pc infetto, rubando tutte le informazioni personali che contiene.

Fortunatamente il virus, nonostante utilizzi tecniche abbastanza comprovate di ingegneria sociale, è facilmente riconoscibile, basta fare attenzione alle mail che si ricevono.

Ecco come riconoscere il messaggio pericolo, attraverso delle semplici indicazioni fornite da CyberSecurity360:

L’oggetto:

“I: Fattura corretta”
“I: Obbligo fatturazione dal 1° Gennaio 2019”
“R: SCADUTO”
“Avv. scad.”
“fattura in scadenza”
“I: AVVISO DI PAGAMENTO”
“I: bonifico ricevuto in data odierna”
“NS.ORDINE NR.0030961 DEL 30/01/19”

Gli allegati:

“DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
“DEL_2019_01_S.R.L._N__183382.XLS”
“F.DOC.2019 A 113 SPA.xls”

I dropurl:

hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
hxxps:// fillialopago[.info////////~DF2F63
command& control server C2 (Ursnif):

hxxp:// felipllet[.info/images/

Le chiavi hash:

dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe

Ricordiamo però che la prima difesa contro un attacco informatico via mail rimane il buon senso:

  • non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
  • trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
  • non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
  • se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
  • in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
  • eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.