Un malware noto facendo ingenti danni in tutta Italia: giornalisti, consumatori e impiegati d’azienda sono già stati attaccati. Si tratta di una variante di Ursnif, un 'trojan' bancario capace di rubare password usate per l’home banking, gli acquisti online e la posta elettronica. Già censito all’interno dei database delle firme antivirus dal 2009 - come riporta Microsoft - le informazioni tecniche relative al malware fanno riferimento a una vecchia versione dello stesso, e non di quella che si sta diffondendo in queste ore.
La nuova variante del malware, appena identificata veniva rilevata solo da alcuni antivirus ed è stata identificata attraverso delle euristiche e non tramite una signature. I ricercatori di CSE CybSec Enterprise SPA che l’hanno individuata hanno scoperto che le vittime ricevono una email con allegato un documento Word che richiede all’ignaro utente l’abilitazione delle macro in modo da permettere la corretta visualizzazione dello stesso. E questo all’interno di una email collegata ad una discussione pre-esistente tra il mittente e il destinatario.
a) Il testo della mail è formulato in un italiano scorretto, contiene poche parole del tipo: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti.” seguito dalla firma reale dell’account di posto infetto;
b) L’allegato è un documento Word che finge di essere stato creato con una versione precedente di Microsoft Office e invita l’utente ad abilitare le macro per essere letto;
c) Il nome di questo file è caratteristico, in quanto il trojan contiene un riferimento della vittima, cioè concatena al nome dell’azienda la parola “Richiesta” facendo in modo tale che il nome completo del file sia “[NOME-AZIENDA-VITTIMA]_Richiesta.doc”.
Quest’ultimo punto, però, non fa escludere che possa trattarsi di un attacco targettizzato.
Se si abilita il contenuto si attiva uno script malevolo che si collega a Internet e scarica dal proprio server il malware (payload) vero e proprio e questo, una volta eseguito automaticamente attraverso lo stesso script che ha iniziato il download, inizia le proprie attività malevole, conservandosi costantemente ad ogni infezione.
Il malware è programmato per sopravvivere e restare attivo anche al riavvio del computer e in questo modo il programma garantisce a se stesso la propria esecuzione ogni volta che il computer viene acceso. Analizzando il sito da cui viene scaricato il trojan, si vede che all’interno di esso è presente una sorta di collezione di campioni dello stesso malware e le statistiche di infezione per ogni file.
Il software dannoso, infine, riesce a operare in maniera completamente trasparente sia dell’utente sia del sistema operativo, per il fatto che riesce a iniettare il proprio codice all’interno del processo “explorer.exe” il quale è uno dei principali processi del sistema operativo di Microsoft e che ha il compito di gestire le finestre del sistema operativo stesso.
La tecnica in questione è stata già studiata e riportata dagli specialisti di Cse Cybsec in un precedente report di gennaio, nel quale viene menzionato proprio questo stesso malware in una versione precedente oggi riconosciuta dagli antivirus.
Il consiglio dei ricercatori di Cse Cybsec è che in uno scenario in cui i virus evolvono conservando le caratteristiche delle versioni precedenti aggiornate per aggirare ed eludere l’individuazione da parte dei software di protezione, in caso di individuazione degli elementi dannosi è importante rivolgersi subito a degli esperti per disinnescare la minaccia.