Ursnif torna a colpire le aziende italiane

Share with your network!

I ricercatori Proofpoint segnalano un incremento delle campagne che sfruttano il trojan bancario Ursnif prendendo di mira l’Italia. In primo piano il gruppo chiamato TA544

I ricercatori di Proofpoint hanno rilevato nel corso di quest’anno un incremento delle minacce mirate che colpiscono le organizzazioni italiane. Questo picco è principalmente guidato da un gruppo denominato TA544, che sfrutta il trojan bancario Ursnif. Quest’anno, Proofpoint ha osservato circa 20 campagne significative che hanno finora distribuito centinaia di migliaia di messaggi rivolti alle aziende italiane, pari all'80% del numero totale di campagne simili in tutto il 2020. Ben 2.000 organizzazioni sono state prese di mira in ogni campagna in lingua italiana.

TA544 è un attore di minacce che distribuisce malware bancario e altri payload in diverse aree geografiche, tra cui Italia e Giappone, identificato da Proofpoint già nel 2017. Solitamente, questo gruppo modifica i propri payload, personalizzandoli in base alla regione da colpire - ad esempio, nel 2021, tutte le campagne TA544 basate su Ursnif hanno preso di mira in particolare organizzazioni italiane, mentre i payload Dridex associati a questo stesso attore non hanno avuto un target geografico specifico.  

Ursnif è un trojan che può essere utilizzato per sottrarre dati dai siti, come le password memorizzate, con l'aiuto di web injection, proxy e connessioni VNC, e per scaricare aggiornamenti, moduli o altri malware. Nonostante venga sfruttato da più cybercriminali, l'attività di TA544 rivolta all'Italia lo differenzia dagli altri. Tra gennaio e agosto 2021, il numero di campagne Ursnif che hanno avuto impatto sulle organizzazioni italiane ha superato il numero totale di campagne Ursnif rivolte al paese in tutto il 2020.

I dettagli della campagna

Nelle campagne osservate di recente, TA544 si finge un corriere italiano o un’azienda del settore energy che sollecita pagamenti all’utente preso di mira.

ursnifit1

Figura 1: Email di phishing che finge di essere il corriere BRT

Le email includono documenti Microsoft Office pericolosi che contengono macro, le quali, se abilitate, il avvieranno il download del malware Ursnif.

ursnifit2

Figura 2: Documento Excel pericoloso che distribuisce Ursnif.

Nelle campagne osservate, TA544 utilizza spesso tecniche di geofencing per rilevare se i destinatari si trovano in specifiche aree geografiche mirate prima di infettarli con il malware. Ad esempio, nelle campagne recenti, la macro del documento genera ed esegue una macro di Excel 4 scritta in italiano, e il malware esegue controlli di localizzazione lato server tramite indirizzo IP. Se l'utente non si trova nell'area presa di mira, il command and control del malware lo reindirizza a un sito web per adulti. Da inizio 2021, Proofpoint ha osservato quasi mezzo milione di messaggi legati a questa minaccia che hanno colpito aziende italiane.

Secondo i dati di Proofpoint, Ursnif è attualmente il malware più spesso osservato che prende di mira l’Italia. All'inizio di quest'anno, i ricercatori avevano rilevato anche campagne multiple di Emotet, ma a seguito dell'interruzione della botnet nel gennaio 2021, l'attività e la minaccia sono scomparse. Anche il phishing delle credenziali si verifica di frequente, per esempio con tentativi di rubare credenziali legate alla logistica o a servizi bancari.

Injection Web

Le recenti campagne TA544 basate su Ursnif hanno incluso attività rivolte a più siti con injection web e reindirizzamenti una volta installato il payload sulla macchina colpita. Le injection web si riferiscono al codice pericoloso iniettato nel browser web di un utente che tenta di rubare dati da alcuni siti mirati, tra cui portali di login relativi a:

  • UniCredit Group
  • Agenziabpb
  • ING
  • BNL
  • Ebay
  • Amazon
  • Paypal
  • Banca Sella
  • CheBanca!
  • IBK

Le injection web identificate sono progettate per rubare le credenziali da un'ampia varietà di siti e servizi utilizzati dagli utenti italiani. In precedenza, sono state sfruttate per infettare individui mirati. Questo indica che TA544 non è interessato esclusivamente a ottenere credenziali bancarie, ma anche nomi utente e password relativi ai siti collegati ai principali retailer.

Conclusione

Le minacce di oggi, come le campagne di TA544 rivolte all’Italia, prendono di mira le persone, e non le infrastrutture. Per questo è importante adottare un approccio di sicurezza incentrato sulle persone che includa visibilità a livello dell’utente su vulnerabilità, attacchi e privilegi e controlli personalizzati in base al rischio di ogni singolo individuo.

Si raccomanda quindi di:

  • Formare gli utenti a individuare e segnalare le email pericolose. Formazione regolare e attacchi simulati possono fermare molte azioni dannose e aiutare a identificare le persone particolarmente vulnerabili. Le migliori simulazioni imitano le tecniche di attacco del mondo reale.
  • Gli attori delle minacce spesso distribuiscono documenti che richiedono l'abilitazione di macro per distribuire il payload pericoloso. È opportuno assicurarsi che le macro siano disabilitate per tutti i dipendenti e includere simulazioni di attacchi con macro nelle sessioni formative sulla sicurezza.
  • Supporre che gli utenti alla fine faranno clic. Gli attaccanti troveranno sempre nuovi modi per sfruttare la natura umana, per questo è importante adottare una soluzione che individui e blocchi le minacce via email in entrata rivolte ai dipendenti prima che raggiungano la casella di posta. Investire in una soluzione in grado di gestire l'intero spettro delle minacce email e non solo quelle basate sul malware. Alcune, tra cui la compromissione della posta elettronica aziendale (BEC) e altre forme di frode via email, possono essere difficili da rilevare con gli strumenti di sicurezza convenzionali, per questo è necessario analizzare le email esterne ed interne: gli attaccanti potrebbero usare account compromessi per ingannare gli utenti all'interno della stessa organizzazione. La web isolation può essere una difesa fondamentale dagli URL sconosciuti e rischiosi.