Il sito del CERT-PA ha reso noto che è in corso una campagna di elmail di malspam volta alla diffusione del malware Ursnif.

Le mail si presentano in italiano con evidenti errori ortografici e grammaticali.

Oggetto dell’e-mail è Relazione di notifica atto N. X del D, dove X e D sono rispettivamente un numero ed una data. Nel corpo dell’e-mail è presente un link ad un documento ZIP (scaricabile solo con un UA indicante il sistema operativo Windows) il quale contiene un’immagine ed un file VBS.

Si tratta di una Immagine che ha il solo scopo di confondere ancora di più la vittima.

Lo script VBS, lievemente offuscato e di dimensioni di circa 1,8 MB, ha il compito di scaricare il payload finale (utilizzando un User Agent arbitrario) e di eseguirlo.

  • IoC (.txt) – Domini, URL, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Fonte: CERT-PA

Twitter
Visit Us
LinkedIn
Share
YOUTUBE