Ursnif sbarca su Android: le campagne che lo distribuiscono veicolano ora un APK che infetta Android con un RAT, DroidJack.
Ursnif e le campagne a tema Agenzia delle Entrate
Ormai ne parliamo da giorni, gli alert del CERT (e non solo) si susseguono. Ursnif e il suoi gestori stanno martellando l’Italia di campagne di attacco. Campagne che mutano e differiscono in qualche particolare, ma che in comune hanno l’infrastruttura che li sostiene e il tema: Agenzia delle Entrate appunto.
“Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume”
L’ennesimo alert del CERT su Ursnif e i suoi gestori è di ieri, Lunedì 27 Marzo. Di nuovo il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti.
Fonte: https://cert-agid.gov.it
L’email sopra ricalca una delle classiche campagne che emulano comunicazioni dell’Agenzia delle Entrate. A tutti gli effetti sembra una campagna di distribuzione di Ursnif, ma c’è una novità.
Gli autori di #Ursnif approdano nel mondo mobile: #DroidJack APK veicolato come comunicazione Agenzia delle Entrate
Il link contenuto in corpo messaggio, in questo caso, non scarica alcun file a meno che il visitatore non lo visiti con un dispositivo Android. In questo caso il link conduce al download di un file in formato APK, chiamato Agenzia.apk. Insomma, la campagna Ursnif non distribuisce Ursnif ma un altro malware.
In dettaglio il malware risulta essere DroidJack, un Malware as Service venduto al costo di 210 dollari. Malware che, nello specifico, è un RAT che consente di ottenere il completo controllo, da remoto, del dispositivo compromesso. Così gli attaccanti possono monitorare il traffico dati, intercettare conversazioni e OTP ecc…
DroidJack il MaaS per Android
DoridJack è un malware per Android rivenduto come Malware As A service sia nel dark web che nel web emerso. E’ in circolazione da molti anni ed è sempre stato una minaccia di un certo rilievo. Al punto che, nel 2015,una task force dell’Europol e Eurojust tentò di sgominare il gruppo gestore.
Come si presentava DroidJack nel 2015
Venendo ai tempi odierni, il CERT ha analizzato in dettaglio il funzionamento di questa campagna.
Subito dopo l’installazione, DroidJack registra il dispositivo compromesso. Per farlo comunica al server C&C marca e modello del dispositivo, numero di telefono, versione di Android.
Fonte: https://cert-agid.gov.it
Quindi inizia la raccolta di informazioni, che vengono salvate su un database SQLite (SandroRat nell’immagine sotto)
Fonte: https://cert-agid.gov.it
Oltre ad intercettare il traffico, DroidJack può acquisire SMS, video e registrare le chiamate effettuate. I dati raccolti sono criptati con algoritmo AES e inviati ad un server C&C localizzato in Russia.
Venendo al codice del malware, non ci sonoi grandi differenze rispetto alla versione che fu individuata in circolazione nel 2016. Probabilmente quella analizzata è proprio la vecchia versione, alla quale sono stati modificati gli indirizzi dei server C&C.
Che c’entra Ursnif quindi?
La campagna analizzata non distribuisce una versione di Ursnif per Android. Quindi che c’entra Ursnif? L’analisi del CERT ha permesso di estrarre le URL dei server di smistamento. Sono oltre 700 e molte di queste già erano correlate alla campagna Ursnif del 14 Marzo 2023. Non finisce qui:
l’infrastruttura che distribuisce il file APK dannoso è la stessa di precedenti campagne Urnsif.
In precedenza non sono mai state registrate campagne di distribuzione Ursnif verso utenti Android. E’ la prima volta che il gruppo dietro le campagne Urnsif mirate contro utenti italiani si rivolge ad Android. La telemetria d’altronde non lascia dubbi: il 30% delle potenziali vittime delle precedenti campagne di distribuzione Ursnif possiede Android.
E’ lecito pensare, o quantomeno è verosimile, che il gruppo che gestisce Urnsif abbia scelto DroidJack per ampliare i target della propria attività dannosa. Affiancando a Windows i target Android.
Guide utili per rimanere al sicuro da attacchi malware e phishing
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 18 – 24 Marzo
La scorsa settimana il CERT-AgID ha individuato e contrastato 26 campagne dannose, delle quali 24 mirate contro obiettivi italiani e 2 generiche ma veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 6. Ecco il dettaglio:
Ursnif è stato in diffusione con quattro massive campagne di spam a tema Agenzia delle Entrate e Delivery. Ognuna delle quattro campagne ha visto l’uso di tecniche differenti. Per approfondire > Ursnif: il trojan bancario più diffuso in Italia;
Remcos è stato in diffusione con una campagna mirata a tema Banking. Le email veicolavano allegati ISO.
Mekotio è stato diffuso con una campagna mirata a tema Pagamenti. Le email veicolavano allegati ZIP contenenti, a loro volta, file MSI.
Remcos RAT in breve: Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ molto usato dai cyber attaccanti a mò di RAT, remote access trojan.
Le campagne di phishing e i temi della settimana 18 – 24 Marzo
Il CERT ha individuato e analizzato 13 campagne di phishing contro utenti italiani. I brand coinvolti sono stati ben 9. I dati mostrano:
una crescita delle campagne mirate al furto dati dei clienti Aruba;
l’ennesima campagna che ha sfruttato INPS per rubare documenti di identità di cittadini italiani.
Tra i brand più sfruttati Aruba, appunto, ma anche BNL e Poste Italiane.
Fonte: https://cert-agid.gov.it/
I temi sfruttati nelle campagne di phishing sono stati 10, in particolare il CERT indica:
Banking: è il tema principale per le campagne di phishing e smishing volte al furto di credenziali bancarie e documenti. In particolare il tema banking è usato per distribuire Remcos e Formbook;
Avvisi di sicurezzaè il tema usato per le campagne di phsihing mirate al furto delle credenziali di account webmail;
Agenzia delle Entrate si conferma il tema preferito per veicolare Ursnif.
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware questa settimana il formato archivio ZIP si conferma il più utilizzato, seguito dai formati URL e JS.
Fonte: https://cert-agid.gov.it
Guide utili per rimanere al sicuro da attacchi malware e phishing
Ursnif malware è ormai una presenza fissa nel nostro paese. Il CERT ha reso pubblicato un report completo del fenomeno: dati tecnici e numeri.
Ursnif malware: le campagne delle scorse settimane
Come già indicato in precedenti articoli, il CERT ha individuato una campagna massiva di distribuzione del malware Ursnif. Campagna di distribuzione mirata contro il nostro paese. Dall’inizio di Marzo il CERT ha osservato e contrastato quattro diverse campagne che hanno sfruttati temi con Agenzia delle Entrate e MISE/MEF.
Fonte: https://cert-agid.gov.it
Queste campagne hanno catturato l’attenzione dei ricercatori per il loro volume, ma anche per il numero di indicatori di compromissione individuati, più di 1200.
Urnsif in breve:
Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.
Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.
Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.
Ursnif viene diffuso in molteplici modi. La tecnica più utilizzata prevede l’uso di un link dinamico di Firebase, solitamente inserito in corpo testo dell’email vettore. Questo link reindirizza la vittima verso una pagina di smistamento. Queste pagine sono solitamente ospitate su server compromessi e hanno lo scopo di indirizzare, infine, l’utente a scaricare un file ZIP. Questo archivio contiene il payload del malware, in dettaglio un collegamento ad un eseguibile su un servizio di sharing pubblico.
Fonte: https://cert-agid.gov.it
Proprio nel corso delle attività di contrasto delle campagne di Ursnif gli esperti del CERT hanno potuto recuperare una serie di dati utili sulle attività di questo malware. Sono riusciti, infatti, a recuperare una serie di informazioni “abbandonate” nelle pagine di smistamento. A partire dal fatto che le pagine di smistamento sono tutte su un unico server di backend.
Diamo i numeri: il fenomeno Ursnif malware
Tra le informazioni recuperate, gli esperti del CERT hanno trovato indirizzo IP, user agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno navigato sulla pagina di smistamento.
“Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.
si legge nel report.
Emerge quindi che, al momento della scrittura del report (pubblicato il 16 Marzo 2023) le visite alle pagine di smistamento erano quasi 380.000. Ora, il backend usato per indirizzare le vittime al download del payload possono rilevare se la vitista proviene o meno da uno strumento automatico (come un motore di ricerca). Di 380.000 visite, solo 40.000 sono provenienti da strumenti automatici.
A livello giornaliero, le visite risultano così distribuite:
Fonte: https://cert-agid.gov.it
I picchi che si notano nel grafico corrispondono ai giorni in cui sono iniziate le quattro campagne di distribuzione di Ursnif.
Un altro dato interessante è che, nonostante la campagna sia mirata contro l’Italia, poco più della metà delle visite è italiana. L’altra metà è in lingua inglese, ma le visite risultano localizzate in specifici punti geografici più che mostrare una distribuzione più o meno uniforme in paesi angolofoni, come invece potremmo aspettarci. Ne discende che, probabilmente, tali visite sono state generate da strumenti automatici (come le sandbox).
La maggior parte delle visite proviene da dispositivi Windows, mentre per i dispositivi mobile la fa da padrone Android. macOS e Linux i meno utilizzati.
Visite per provenienza indirizzo IP Ecco sotto ricostruite sulla mappa le posizioni degli indirizzi IP che hanno visitato le pagine di smistamento
Fonte: https://cert-agid.gov.it
“È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia”
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 04 – 10 Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato 18 campagne dannose. 16 hanno mirato direttamente obiettivi italiani, le altre sono state generiche ma veicolate anche nel cyber spazio italiano.
Le famiglie malware individuate in diffusione sono state 4, diffuse con 10 diverse campagne. In dettaglio:
Ursnif è stato diffuso con 4 diverse campagne a tema Agenzia delle Entrate e MEF/MISE. Le email vettore hanno assunto diverse forme. Alcune contengono in corpo messaggio un link che porta al download di file ZIP contenenti, a loro volta, un file URL. Altre invece veicolano allegati XLS dannosi. Qui un report dettagliato del CERT sulle attività di Ursnif in Italia.
AgentTesla è stato distribuito con 3 diverse campagne, una generica a tema Pagamenti e due mirate contro utenti italiani a tema Ordine e Preventivo. Le email veicolavano allegati LZH, GZ con VBS e 7Z. Per approfondire >Anatomia di AgentTesla, lo spyware più diffuso in Italia;
Emotet torna in diffusione dopo 4 mesi con due campagne massive a tema resend. Le email veicolano allegati ZIP contenenti, a loro volta, file DOC armati di macro dannosa. Rimandiamo, sul tema, a questa apposita news, oppure al più esteso report pubblicato dal CERT.
Remcos è stato diffuso con una campagna generica a tema Hotel. Le email veicolavano allegati RAR.
Fonte: https://cert-agid.gov.it
Remcos RAT in breve: Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.
Le campagne di phishing e i temi della settimana 04 – 10 Marzo
Le campagne di phishing individuate e analizzate sono state 8 ed hanno sfruttato 6 diversi brand. Di nuovo INPS è il soggetto più sfruttato, in particolare per raccogliere documenti di identità. Tra i brand più colpiti seguono poi Poste Italiane, Aruba e Zimbra. Solo in fondo alla “classifica” si notano i primi istituti Bancari: Unicredit e Intesa San Paolo.
Fonte: https://cert-agid.gov.it
Queste campagne dannose hanno sfruttato 12 diversi temi per ingannare gli utenti. I principali sono stati:
Banking, ovviamente. Il tema è usato sia per campagne di phishing sia per campagne di smishing rivolte a clienti di istituti bancari italiani. Anche la campagna INPS ha sfruttato questo tema.
Agenzia delle Entrate è utilizzato, nello specifico, per veicolare Ursnif.
Resend è stato sfruttato per veicolare Emotet.
Fonte: https://cert-agid.gov.it
Guide utili per rimanere al sicuro da attacchi malware e phishing
Emotet torna in Italia: non si vedeva da 4 mesi, ora torna con una massiva campagna di distribuzione lanciata da Epoch4.
Emotet torna in Italia dopo 4 mesi di assenza
L’alert viene dal CERT, che ha individuato e analizzato una campagna di email di spam massiva e molto aggressiva, rivolta contro utenti italiani. Mancava da 4 mesi ma, evidentemente, Emotet si stava solo preparando per tornare a colpire. L’ultima attività in Italia era stata registrata nel “lontano” Novembre 2022. In quel caso il CERT aveva individuato e analizzato 16 campagne di diffusione lanciate da ben due delle botnet che compongono l’infrastruttura di Emotet, ovvero Epoch4 e Epoch 5.
Il grafico sotto mostra la distribuzione delle campagne Emotet in Italia dal 2020 al 2023.
La campagna in corso sfrutta conversazioni già avviate
La campagna odierna, in corso, è stata individuata e contrastata dal CERT. La campagna non ha un tema specifico, anzi, è ancora più insidiosa perché riprende conversazioni già avviate, “infilandovi” dentro un allegato ZIP dannoso.
In dettaglio, spiega il CERT, l’allegato ZIP è “CopiaFattura.zip” e contiene un file DOC di dimensioni insolitamente grandi: oltre 500 MB di peso.
Fonte: https://cert-agid.gov.it
Secondo gli esperti del CERT, le dimensioni insolite del file hanno uno scopo specifico, ovvero impedire all’utente di passare il file sulle sandbox online per analizzare l’allegato. Infatti i 500 MB sono raggiunti “artificialmente”: il file peserebbe solo 300 KB, la differenza è dovuta all’aggiunta di una serie di null byte fino ad arrivare ai 500MB.
Fonte: https://cert-agid.gov.it
Al di là del peso, l’arma di questo file DOC è la classica macro dannosa con un basso livello di offuscamento del codice. La macro ha il solo scopo di scaricare ulteriori file PE o ZIP ed eseguirli. Le URL per il download dei file, integrate in macro, sono offuscate. Sono testate una ad una finché non avviene il download del file richiesto. Ecco le dropurl deoffuscate:
Fonte: https://cert-agid.gov.it
In questo caso le URL rilasciano un file ZIP che contiene, a sua volta, una DLL di oltre 500 MB di peso. Anche questa presenta un peso eccessivo perché “arricchita” di null byte. La DLL viene poi eseguita tramite regsvr32. Deoffuscando la macro, la funzione oggetto dell’esecuzione di questa DLL si fa chiara:
Fonte: https://cert-agid.gov.it
I server C&C relativi a questa campagna sono 49 e fanno parte della botnet Emotet chiamata Epoch4.
Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E’ usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 18 – 24 Febbraio
La scorsa settimana il CERT-AgID hanno individuato e analizzato 13 campagne dannose mirate contro utenti italiano. Le famiglie malware in diffusione sono state 5, in dettaglio:
Ursnif è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati XLS compromessi;
Remcos è stato diffuso con una campagna a tema Conferma. Le email veicolavano allegati in formato 7Z;
jRat è stato diffuso con una campagna a tema Documenti. Le email veicolavano allegati VBS.
Fonte: https://cert-agid.gov.it
Remcos RAT in breve: Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.
Le campagne di phishing e i temi della settimana 18 – 24 Febbraio
Il CERT ha analizzato 8 campagne di phishing che hanno coinvolto 6 brand diversi. Tra le campagne più insidiose quelle che hanno sfruttato i riferimento di INPS e Agenzia delle Entrate.
Il CERT-AGID ha ricevuto segnalazione di una campagna 🇮🇹 di #Phishing bancario che esorta la vittima al saldo di presunti contributi #INPS non pagati