Campagne Ursnif, come riconoscerle ed evitarle.

Nei primi giorni di dicembre, CERT-PA ha dato notizia di aver ricevuto segnalazioni riguardanti varie campagne Ursnif indirizzate a comuni italiani, aziende italiane, Pubbliche Amministrazioni e privati.

Nonostante le classiche regolarità di questo tipo di attacco, perpetrato diffondendo un trojan, i metodi d’approccio sono diversi ma non per questo uno meno pericoloso dell’altro.

Innanzitutto, in tutte le mail malevole sono presenti allegati, inoltre vengono utilizzati domini mascherati e motivazioni abbastanza credibili. Si va dai solleciti di pagamento delle fatture fino agli invii fittizi di documentazione, tutti messi sapientemente in oggetto per cercare di truffare i malcapitati.

È necessario mantenere un’attenzione molto alta per questo tipo di attacco, poiché se andasse a segno si rischierebbe il furto di dati, delle digitazioni e l’accesso ai propri sistemi tramite backdoor.

Comuni

La campagna Ursnif indirizzata ai comuni, segnalata il 3 dicembre scorso, si è diffusa tramite l’invio di un file .ZIP in un messaggio di posta con un oggetto che rimanda ad un invio di “documentazione registrata in uscita” ed un ID fittizio dei documenti. Nel corpo del messaggio viene indicata la password, ovvero 12345, che permetterà di decomprimere i file del pacchetto in allegato.

Proprio la semplicità della password fornita potrebbe far suonare il primo campanello d’allarme per decidere di cestinare il tutto, ma se il pacchetto venisse decompresso si troverà un file .DOC che, una volta aperto, attiverà una macro che farà scaricare un file XML malevolo.

Non è finita qui, il file eseguirà un codice che, inizialmente, cercherà di capire se il pc infettato fa parte del network aziendale e, se la condizione è soddisfatta, inizierà a diffondersi in quest’ultima.

Aziende, Privati ed Enti Pubblici

Le email inviate in questa variante di campagna Ursnif, segnalata il 4 dicembre scorso, presentano tutte un oggetto che rimanda a pagamenti e fatture, mentre il mittente è spesso una sedicente amministrazione di qualche azienda, opportunamente camuffato e reso credibile tramite spoofing.
Qui di seguito elenchiamo i vari oggetti riscontrati:

– Sollecito pagamento

– Sollecito di pagamento effetti

– sollecito pagamento nostre fatture n. XXXX e XXXX (dove le X sono numeri casuali)

– FATTURE_(vendite)

– pagamento provvigioni

In allegato stavolta si può trovare un file .XLS che, se aperto, scatena l’infezione eseguendo uno script malevolo.

I nomi dei diversi file .XLS malevoli riscontrati sono:

– FATT richiesta del DD/MM/YYYY XXXXX.xls

– copia_FT_del_DD_MM_YYYY_XXXX.xls

– pagamento_FATT_richiesta_del DD-MM-YYYY_XXXXX.xls

Le D, le M e le Y stanno a significare giorno, mese ed anno, mentre le X sono semplicemente numeri casuali.

Privati ed Enti pubblici/2

Un’altra campagna Ursnif è stata segnalata il 9 dicembre scorso. In questo caso la diffusione avviene attraverso l’invio di false fatture da parte del corriere DHL.

Come abbiamo spiegato in un articolo precedente, sotto le feste di natale è frequente essere attaccati da hacker ricevendo mail fasulle di spedizionieri che ci avvisano riguardo alla merce in arrivo. Si può dire che anche in questo caso siamo di fronte ad una truffa simile.

La vittima riceve infatti due file, ovvero un .PDF ed un .XLS, il primo è una finta fattura di avvenuta consegna, mentre il secondo è un file Excel. Una volta aperto, il file .XLS attiva una macro che, prima, controlla di aver colpito il bersaglio giusto (come per il primo caso preso in esame) poi, in caso di esito positivo, inizia il processo di infezione.

Come evitare le campagne Ursnif

I consigli per evitare questo genere di attacco sono sempre gli stessi. Ogni volta che riceviamo mail contenenti allegati è importante ricordare che essi non vanno aperti in nessun caso, almeno non prima di aver fatto un controllo approfondito sulla veridicità della fonte.

Uno dei controlli consigliati, ad esempio, è verificare che la mail sia veritiera. Prendiamo il caso delle finte fatture DHL ad esempio, qualora avessimo ricevuto o fossimo in attesa di spedizioni potremmo verificare prima sul sito dello spedizioniere o addirittura nella propria casella di posta per valutare l’attendibilità della comunicazione.

Un altro fattore da tenere sotto controllo è il mittente. Se viene inviato un sollecito di pagamento o il riferimento ad una fattura da parte di un fantomatico cliente è chiaro che la prima cosa da fare è contattare direttamente chi crediamo che ci abbia inviato la notifica.

In conclusione, le campagne come Ursnif sono all’ordine del giorno, lo testimoniano anche le continue segnalazioni. Ciononostante, le tattiche di approccio possono differire da quelle inserite in questo articolo ed è sempre consigliato quindi seguire le semplici regole che abbiamo spiegato in un articolo del nostro blog.

 

Fonti: 1, 2, 3