Ursnif sbarca su Android: l’analisi del CERT

Ursnif sbarca su Android: l’analisi del CERT

Ursnif sbarca su Android: le campagne che lo distribuiscono veicolano ora un APK che infetta Android con un RAT, DroidJack.

Ursnif e le campagne a tema Agenzia delle Entrate

Ormai ne parliamo da giorni, gli alert del CERT (e non solo) si susseguono. Ursnif e il suoi gestori stanno martellando l’Italia di campagne di attacco. Campagne che mutano e differiscono in qualche particolare, ma che in comune hanno l’infrastruttura che li sostiene e il tema: Agenzia delle Entrate appunto.

“Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume”

si legge nel report del CERT “Il fenomeno Ursnif in Italia: i numeri dell’ultima ondata di campagne“.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif sbarca su Android

L’ennesimo alert del CERT su Ursnif e i suoi gestori è di ieri, Lunedì 27 Marzo. Di nuovo il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti.

Il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti
Fonte: https://cert-agid.gov.it

L’email sopra ricalca una delle classiche campagne che emulano comunicazioni dell’Agenzia delle Entrate. A tutti gli effetti sembra una campagna di distribuzione di Ursnif, ma c’è una novità.

Il link contenuto in corpo messaggio, in questo caso, non scarica alcun file a meno che il visitatore non lo visiti con un dispositivo Android. In questo caso il link conduce al download di un file in formato APK, chiamato Agenzia.apk. Insomma, la campagna Ursnif non distribuisce Ursnif ma un altro malware.

In dettaglio il malware risulta essere DroidJack, un Malware as Service venduto al costo di 210 dollari. Malware che, nello specifico, è un RAT che consente di ottenere il completo controllo, da remoto, del dispositivo compromesso. Così gli attaccanti possono monitorare il traffico dati, intercettare conversazioni e OTP ecc…

DroidJack il MaaS per Android

DoridJack è un malware per Android rivenduto come Malware As A service sia nel dark web che nel web emerso. E’ in circolazione da molti anni ed è sempre stato una minaccia di un certo rilievo. Al punto che, nel 2015,una task force dell’Europol e Eurojust tentò di sgominare il gruppo gestore.

Come si presentava DroidJack nel 2015
Come si presentava DroidJack nel 2015

Venendo ai tempi odierni, il CERT ha analizzato in dettaglio il funzionamento di questa campagna.

Subito dopo l’installazione, DroidJack registra il dispositivo compromesso. Per farlo comunica al server C&C marca e modello del dispositivo, numero di telefono, versione di Android.

Fonte: https://cert-agid.gov.it

Quindi inizia la raccolta di informazioni, che vengono salvate su un database SQLite (SandroRat nell’immagine sotto)

Urnsif sbarca su Android: DroidJack raccoglie informazioni e le salva in database SQLite
Fonte: https://cert-agid.gov.it

Oltre ad intercettare il traffico, DroidJack può acquisire SMS, video e registrare le chiamate effettuate. I dati raccolti sono criptati con algoritmo AES e inviati ad un server C&C localizzato in Russia.

Venendo al codice del malware, non ci sonoi grandi differenze rispetto alla versione che fu individuata in circolazione nel 2016. Probabilmente quella analizzata è proprio la vecchia versione, alla quale sono stati modificati gli indirizzi dei server C&C.

Che c’entra Ursnif quindi?

La campagna analizzata non distribuisce una versione di Ursnif per Android. Quindi che c’entra Ursnif? L’analisi del CERT ha permesso di estrarre le URL dei server di smistamento. Sono oltre 700 e molte di queste già erano correlate alla campagna Ursnif del 14 Marzo 2023. Non finisce qui:

  • stesso tema delle campagne Ursnif;
  • stesso oggetto email;
  • utilizzo dei link dinamici Firebase;
  • l’infrastruttura che distribuisce il file APK dannoso è la stessa di precedenti campagne Urnsif.

In precedenza non sono mai state registrate campagne di distribuzione Ursnif verso utenti Android. E’ la prima volta che il gruppo dietro le campagne Urnsif mirate contro utenti italiani si rivolge ad Android. La telemetria d’altronde non lascia dubbi: il 30% delle potenziali vittime delle precedenti campagne di distribuzione Ursnif possiede Android.

E’ lecito pensare, o quantomeno è verosimile, che il gruppo che gestisce Urnsif abbia scelto DroidJack per ampliare i target della propria attività dannosa. Affiancando a Windows i target Android.

Guide utili per rimanere al sicuro da attacchi malware e phishing

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 18 – 24 Marzo

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 18 – 24 Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.

I malware della settimana 18 – 24 Marzo

La scorsa settimana il CERT-AgID ha individuato e contrastato 26 campagne dannose, delle quali 24 mirate contro obiettivi italiani e 2 generiche ma veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 6. Ecco il dettaglio:

Remcos RAT in breve:
Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ molto usato dai cyber attaccanti a mò di RAT, remote access trojan.

Fonte: https://cert-agid.gov.it/


Per saperne di più > Ursnif Malware in Italia: l’analisi approfondita del CERT

Le campagne di phishing e i temi della settimana 18 – 24 Marzo

Il CERT ha individuato e analizzato 13 campagne di phishing contro utenti italiani. I brand coinvolti sono stati ben 9. I dati mostrano:

  • una crescita delle campagne mirate al furto dati dei clienti Aruba;
  • l’ennesima campagna che ha sfruttato INPS per rubare documenti di identità di cittadini italiani.

Tra i brand più sfruttati Aruba, appunto, ma anche BNL e Poste Italiane.

Fonte: https://cert-agid.gov.it/

I temi sfruttati nelle campagne di phishing sono stati 10, in particolare il CERT indica:

  • Banking: è il tema principale per le campagne di phishing e smishing volte al furto di credenziali bancarie e documenti. In particolare il tema banking è usato per distribuire Remcos e Formbook;
  • Avvisi di sicurezzaè il tema usato per le campagne di phsihing mirate al furto delle credenziali di account webmail;
  • Agenzia delle Entrate si conferma il tema preferito per veicolare Ursnif.
Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore

Tra i file vettore per distribuire malware questa settimana il formato archivio ZIP si conferma il più utilizzato, seguito dai formati URL e JS.

Fonte: https://cert-agid.gov.it

Guide utili per rimanere al sicuro da attacchi malware e phishing

Ursnif Malware in Italia: l’analisi approfondita del CERT

Ursnif Malware in Italia: l’analisi approfondita del CERT

Ursnif malware è ormai una presenza fissa nel nostro paese. Il CERT ha reso pubblicato un report completo del fenomeno: dati tecnici e numeri.

Ursnif malware: le campagne delle scorse settimane

Come già indicato in precedenti articoli, il CERT ha individuato una campagna massiva di distribuzione del malware Ursnif. Campagna di distribuzione mirata contro il nostro paese. Dall’inizio di Marzo il CERT ha osservato e contrastato quattro diverse campagne che hanno sfruttati temi con Agenzia delle Entrate e MISE/MEF.

Fonte: https://cert-agid.gov.it

Queste campagne hanno catturato l’attenzione dei ricercatori per il loro volume, ma anche per il numero di indicatori di compromissione individuati, più di 1200.

Urnsif in breve:

Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.

Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.

Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif e le tecniche di attacco

Ursnif viene diffuso in molteplici modi. La tecnica più utilizzata prevede l’uso di un link dinamico di Firebase, solitamente inserito in corpo testo dell’email vettore. Questo link reindirizza la vittima verso una pagina di smistamento. Queste pagine sono solitamente ospitate su server compromessi e hanno lo scopo di indirizzare, infine, l’utente a scaricare un file ZIP. Questo archivio contiene il payload del malware, in dettaglio un collegamento ad un eseguibile su un servizio di sharing pubblico.

Catena di infezione di ursnif malware
Fonte: https://cert-agid.gov.it

Proprio nel corso delle attività di contrasto delle campagne di Ursnif gli esperti del CERT hanno potuto recuperare una serie di dati utili sulle attività di questo malware. Sono riusciti, infatti, a recuperare una serie di informazioni “abbandonate” nelle pagine di smistamento. A partire dal fatto che le pagine di smistamento sono tutte su un unico server di backend.

Diamo i numeri: il fenomeno Ursnif malware

Tra le informazioni recuperate, gli esperti del CERT hanno trovato indirizzo IP, user agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno navigato sulla pagina di smistamento.

“Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.

si legge nel report.

Emerge quindi che, al momento della scrittura del report (pubblicato il 16 Marzo 2023) le visite alle pagine di smistamento erano quasi 380.000. Ora, il backend usato per indirizzare le vittime al download del payload possono rilevare se la vitista proviene o meno da uno strumento automatico (come un motore di ricerca). Di 380.000 visite, solo 40.000 sono provenienti da strumenti automatici.

A livello giornaliero, le visite risultano così distribuite:

dati ursnif malware
Fonte: https://cert-agid.gov.it

I picchi che si notano nel grafico corrispondono ai giorni in cui sono iniziate le quattro campagne di distribuzione di Ursnif.

Un altro dato interessante è che, nonostante la campagna sia mirata contro l’Italia, poco più della metà delle visite è italiana. L’altra metà è in lingua inglese, ma le visite risultano localizzate in specifici punti geografici più che mostrare una distribuzione più o meno uniforme in paesi angolofoni, come invece potremmo aspettarci. Ne discende che, probabilmente, tali visite sono state generate da strumenti automatici (come le sandbox).

Visite per lingua ursnif malware
Fonte: https://cert-agid.gov.it

Visite per Sistema Operativo

Visite per Sistema Operativo ursnif malware
Fonte: https://cert-agid.gov.it

La maggior parte delle visite proviene da dispositivi Windows, mentre per i dispositivi mobile la fa da padrone Android. macOS e Linux i meno utilizzati.

Visite per provenienza indirizzo IP
Ecco sotto ricostruite sulla mappa le posizioni degli indirizzi IP che hanno visitato le pagine di smistamento

Visite per provenienza indirizzo IP - ursnif malware
Fonte: https://cert-agid.gov.it

“È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia”

si legge nel report.

Il report completo è disponibile qui

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 04 – 10 Marzo

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 04 – 10 Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.

I malware della settimana 04 – 10 Marzo

La scorsa settimana il CERT-AgID ha individuato e analizzato 18 campagne dannose. 16 hanno mirato direttamente obiettivi italiani, le altre sono state generiche ma veicolate anche nel cyber spazio italiano.

Le famiglie malware individuate in diffusione sono state 4, diffuse con 10 diverse campagne. In dettaglio:

  • Ursnif è stato diffuso con 4 diverse campagne a tema Agenzia delle Entrate e MEF/MISE. Le email vettore hanno assunto diverse forme. Alcune contengono in corpo messaggio un link che porta al download di file ZIP contenenti, a loro volta, un file URL. Altre invece veicolano allegati XLS dannosi. Qui un report dettagliato del CERT sulle attività di Ursnif in Italia.
  • AgentTesla è stato distribuito con 3 diverse campagne, una generica a tema Pagamenti e due mirate contro utenti italiani a tema Ordine e Preventivo. Le email veicolavano allegati LZH, GZ con VBS e 7Z. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • Emotet torna in diffusione dopo 4 mesi con due campagne massive a tema resend. Le email veicolano allegati ZIP contenenti, a loro volta, file DOC armati di macro dannosa. Rimandiamo, sul tema, a questa apposita news, oppure al più esteso report pubblicato dal CERT.
  • Remcos è stato diffuso con una campagna generica a tema Hotel. Le email veicolavano allegati RAR.

I malware della settimana 04 – 10 Marzo
Fonte: https://cert-agid.gov.it

Remcos RAT in breve:
Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.

Le campagne di phishing e i temi della settimana 04 – 10 Marzo

Le campagne di phishing individuate e analizzate sono state 8 ed hanno sfruttato 6 diversi brand. Di nuovo INPS è il soggetto più sfruttato, in particolare per raccogliere documenti di identità. Tra i brand più colpiti seguono poi Poste Italiane, Aruba e Zimbra. Solo in fondo alla “classifica” si notano i primi istituti Bancari: Unicredit e Intesa San Paolo.

I brand sfruttati nella settimana 04 – 10 Marzo
Fonte: https://cert-agid.gov.it

Queste campagne dannose hanno sfruttato 12 diversi temi per ingannare gli utenti. I principali sono stati:

  • Banking, ovviamente. Il tema è usato sia per campagne di phishing sia per campagne di smishing rivolte a clienti di istituti bancari italiani. Anche la campagna INPS ha sfruttato questo tema.
  • Agenzia delle Entrate è utilizzato, nello specifico, per veicolare Ursnif.
  • Resend è stato sfruttato per veicolare Emotet.
I temi sfruttati nella settimana 04 – 10 Marzo
Fonte: https://cert-agid.gov.it

Guide utili per rimanere al sicuro da attacchi malware e phishing 

Emotet torna in Italia: massiccia campagna in corso

Emotet torna in Italia: massiccia campagna in corso


Emotet torna in Italia: non si vedeva da 4 mesi, ora torna con una massiva campagna di distribuzione lanciata da Epoch4.

Emotet torna in Italia dopo 4 mesi di assenza

L’alert viene dal CERT, che ha individuato e analizzato una campagna di email di spam massiva e molto aggressiva, rivolta contro utenti italiani. Mancava da 4 mesi ma, evidentemente, Emotet si stava solo preparando per tornare a colpire. L’ultima attività in Italia era stata registrata nel “lontano” Novembre 2022. In quel caso il CERT aveva individuato e analizzato 16 campagne di diffusione lanciate da ben due delle botnet che compongono l’infrastruttura di Emotet, ovvero Epoch4 e Epoch 5.

Il grafico sotto mostra la distribuzione delle campagne Emotet in Italia dal 2020 al 2023.

Fonte: https://cert-agid.gov.it

Per saperne di più > Emotet torna a colpire in Italia – (articolo relativo alla campagna di Novembre 2022)


La campagna in corso sfrutta conversazioni già avviate

La campagna odierna, in corso, è stata individuata e contrastata dal CERT. La campagna non ha un tema specifico, anzi, è ancora più insidiosa perché riprende conversazioni già avviate, “infilandovi” dentro un allegato ZIP dannoso.

In dettaglio, spiega il CERT, l’allegato ZIP è “CopiaFattura.zip” e contiene un file DOC di dimensioni insolitamente grandi: oltre 500 MB di peso.

Fonte: https://cert-agid.gov.it

Secondo gli esperti del CERT, le dimensioni insolite del file hanno uno scopo specifico, ovvero impedire all’utente di passare il file sulle sandbox online per analizzare l’allegato. Infatti i 500 MB sono raggiunti “artificialmente”: il file peserebbe solo 300 KB, la differenza è dovuta all’aggiunta di una serie di null byte fino ad arrivare ai 500MB.

Fonte: https://cert-agid.gov.it

Al di là del peso, l’arma di questo file DOC è la classica macro dannosa con un basso livello di offuscamento del codice. La macro ha il solo scopo di scaricare ulteriori file PE o ZIP ed eseguirli. Le URL per il download dei file, integrate in macro, sono offuscate. Sono testate una ad una finché non avviene il download del file richiesto. Ecco le dropurl deoffuscate:

Fonte: https://cert-agid.gov.it

In questo caso le URL rilasciano un file ZIP che contiene, a sua volta, una DLL di oltre 500 MB di peso. Anche questa presenta un peso eccessivo perché “arricchita” di null byte. La DLL viene poi eseguita tramite regsvr32. Deoffuscando la macro, la funzione oggetto dell’esecuzione di questa DLL si fa chiara:

Fonte: https://cert-agid.gov.it

I server C&C relativi a questa campagna sono 49 e fanno parte della botnet Emotet chiamata Epoch4.

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E’ usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Le misure di mitigazione complete sono consultabili in questo report > EMOTET Descrizione e misure di contrasto – CSIRT Italia

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 18 – 24 Febbraio

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT 18 – 24 Febbraio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.

I malware della settimana 18 – 24 Febbraio

La scorsa settimana il CERT-AgID hanno individuato e analizzato 13 campagne dannose mirate contro utenti italiano. Le famiglie malware in diffusione sono state 5, in dettaglio:

  • Ursnif è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati XLS compromessi;
  • Remcos è stato diffuso con una campagna a tema Conferma. Le email veicolavano allegati in formato 7Z;
  • AgenTesla è stato diffuso con una campana a tema banking. Le email veicolavano allegati in in formato RTF con l’exploit per la CVE-2017-11882 di Equation Editor.  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • Qakbot è stato diffuso con una campagna a tema Resend. Le email veicolavano allegati ONE contenenti a loro volta allegati CHM. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l’Italia;
  • jRat è stato diffuso con una campagna a tema Documenti. Le email veicolavano allegati VBS.
Fonte: https://cert-agid.gov.it

Remcos RAT in breve:
Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.

Le campagne di phishing e i temi della settimana 18 – 24 Febbraio

Il CERT ha analizzato 8 campagne di phishing che hanno coinvolto 6 brand diversi. Tra le campagne più insidiose quelle che hanno sfruttato i riferimento di INPS e Agenzia delle Entrate.

Tra i brand più sfruttati troviamo invece Poste, BPER e Aruba.

Fonte: https://cert-agid.gov.it

Inutile dire che il tema banking si conferma quello dominante per le campagne di phishing

Fonte: https://cert-agid.gov.it

Guide utili per rimanere al sicuro da attacchi malware e phishing