Negli ultimi mesi, l’Italia è stata oggetto di numerose campagne di malware che hanno visto come protagonista Ursnif.
Questo malware, noto anche come Gozi, è un trojan bancario che ruba le credenziali di accesso ai conti correnti online degli utenti.
L’ultima ondata di attacchi ha messo in allarme la comunità della sicurezza informatica, evidenziando la necessità di aumentare la consapevolezza e le misure di protezione contro queste minacce.

Ursnif malware
  1. Le campagne di Ursnif in Italia
  2. Analisi delle tecniche di Ursnif
  3. Sintomi di un attacco Ursnif
  4. Impatti e raccomandazioni

Le campagne di Ursnif in Italia

Secondo il CERT-AgID, l’Italia è stata colpita da almeno quattro campagne Ursnif a partire da marzo 2023.
Queste campagne hanno sfruttato temi come l’Agenzia delle Entrate e il MISE/MEF per ingannare le vittime. La tecnica principale utilizzata è stata l’invio di email contenenti link dinamici di Firebase che reindirizzano a pagine di smistamento ospitate su server compromessi. Da queste pagine, le vittime vengono poi indirizzate a scaricare file ZIP contenenti il payload malevolo.

Il CERT-AgID ha identificato oltre 1200 indicatori di compromissione (IoC) relativi a queste campagne, segnalando l’ampia diffusione del fenomeno.
Durante l’analisi, sono stati raccolti dati dettagliati che hanno permesso di tracciare quasi 380.000 visite alle pagine di smistamento, con un picco di 70.000 visite in un solo giorno.

Analisi delle tecniche di Ursnif

Ursnif è noto per variare frequentemente le sue tecniche, tattiche e procedure (TTP).
Una delle tecniche osservate consiste nell’uso di un allegato malevolo in formato ZIP contenente un documento word. Questo documento, una volta aperto e attivate le macro, esegue diverse operazioni tra cui:

  • Copia del software legittimo mshta.exe in C:\users\public con il nome ms.com.
  • Creazione di un file HTML chiamato ms.html nella stessa cartella.
  • Esecuzione del file HTML tramite mshta.exe.
  • Creazione di una chiave di registro per salvare contenuti codificati in Base64, poi usati per scaricare ulteriori stadi dell’infezione.

Queste azioni mirano a mantenere il malware persistente sul sistema e a facilitare il download di ulteriori componenti malevoli.

Sintomi di un attacco Ursnif

Un’infezione da Ursnif può manifestarsi attraverso vari sintomi che indicano attività malevole nel sistema.
I segni più evidenti includono rallentamenti improvvisi del computer, crash frequenti e un aumento sospetto del traffico di rete.
Gli utenti potrebbero notare tentativi di accesso non autorizzato ai propri conti bancari o la comparsa di transazioni non riconosciute. Ursnif è noto per il furto di credenziali e informazioni sensibili, il che può portare a notifiche di modifiche delle password o accessi da dispositivi sconosciuti.

Dal punto di vista tecnico, possono apparire nuovi processi sconosciuti in esecuzione, modifiche non autorizzate alle impostazioni di sicurezza del sistema e utilizzo di tecniche avanzate come l’iniezione di codice nei browser per intercettare e modificare il traffico web, inclusi i token di autenticazione a due fattori.

Impatti e raccomandazioni

L’ultima versione di Ursnif, scoperta dai ricercatori di CybSec Enterprise, si distingue per la sua capacità di rimanere attiva anche dopo il riavvio del computer, rendendo più difficile la sua individuazione e rimozione. Questo malware può rubare credenziali bancarie, informazioni personali e dati di navigazione, inviandoli a server controllati dagli attaccanti.

Per proteggersi da Ursnif e altri malware simili, si raccomanda di adottare le seguenti misure:

  • Formazione degli utenti
    Educare gli utenti a riconoscere le email di phishing e a evitare di aprire allegati o cliccare su link sospetti.
  • Disattivazione delle macro
    Configurare i software Office per disattivare le macro o limitarne l’esecuzione solo a documenti provenienti da fonti attendibili.
  • Aggiornamenti e patch
    Mantenere aggiornati tutti i software e i sistemi operativi per correggere le vulnerabilità sfruttate dai malware.
  • Implementazione di IoC
    Utilizzare gli indicatori di compromissione forniti dagli enti di sicurezza per configurare i sistemi di difesa e monitorare attività sospette.

Conclusioni

Ursnif rappresenta una seria minaccia per la sicurezza informatica in Italia, evidenziando l’importanza di una difesa proattiva e consapevole. Gli attacchi recenti dimostrano come i criminali informatici continuino a evolvere le loro tecniche per ingannare le vittime e infiltrarsi nei sistemi. Rimanere vigili, informati e preparati è essenziale per mitigare i rischi e proteggere i propri dati e sistemi.