techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiLibraesva, attenzione alla nuova versione del trojan Ursnif

Libraesva, attenzione alla nuova versione del trojan Ursnif

9 Aprile 2018 Barbara Tomasi
Libraesva, attenzione alla nuova versione del trojan Ursnif

Libraesvamette in guardia contro una nuova versione del virus Ursnif, che fa incetta di account email, inserendosi in thread di comunicazione attivi, passati o archiviati.
Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che quindi continua a propagarsi senza che mittenti o vittime se ne accorgano.
Ursnif è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali; il malware stesso continua a cambiare nel tempo.
Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware” che renderebbe più difficile per il destinatario rilasciarle.

Allarme rosso per i Trojan mutanti Ursnif
Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono talmente convinti che si tratti di una email legittima, che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente. 

A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga.
Il messaggio della mail contiene pochissime parole: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti” seguito dalla firma reale dell’account infetto e dal thread di posta elettronica esistente sotto. Una frase scritta in un italiano scorretto, ma questo non sembra comprometterne l’efficacia.

L’allegato, solitamente denominato “Richiesta.doc”, è un documento word che finge di essere stato creato con una versione precedente di Microsoft Office e, come di consueto, invita l’utente ad abilitare le macro. Le macro sono offuscate, continuano a cambiare per non essere scoperte dai sistemi basati su firma e pattern e contengono un’azione di AutoOpen che esegue uno script powerhell che scarica e installa il payload.

I motori antivirus stanno rilasciando ogni giorno centinaia di nuove regole di rilevamento per questi campioni in continua evoluzione, ma la latenza del processo garantisce la consegna di molti campioni che non sono ancora stati identificati dai motori antivirus. Questa campagna, così come altre campagne di malware come Emotet, ad esempio, ha un dropper in continua evoluzione che evidenzia tutti i limiti degli approcci di difesa basati su firme e modelli.
Queste email vengono messe in quarantena dai controlli del contenuto e gli allegati vengono bloccati o disarmati dal servizio di sandboxing QuickSand di Libraesva, un servizio che rimuove il codice attivo quando sono presenti le operazioni tipiche che abilitano la funzionalità del dropper.

Rodolfo Saccani, Security R&D Manager di Libraesva
Nonostante queste email siano bloccate da livelli aggiuntivi di protezione, come la sandbox Libraesva, la componente di phishing è così forte che alcuni utenti volontariamente aggirano tutti i controlli di sicurezza e vengono comunque infettati. Questo semplice trucco del phishing può indurre lo stesso destinatario a compiere un lavoro non indifferente che finisce per aiutare gli autori del malware: rilasciare l’email dalla quarantena, aprirla, lanciare l’allegato, abilitare le macro e in alcuni casi anche segnalare l’email come un falso positivo.

Si tratta di un approccio che non presenta gli svantaggi degli approcci basati sulle firme e che si è dimostrato molto efficace nel bloccare varianti di malware sconosciute e in continua evoluzione.

Related Posts:

  • Cybersecurity
    Cybersecurity, FakeUpdates e Androxgh0st tra le…
  • password Check Point Telegram distribuzione malware attacchi informatici
    Ad aprile crescono gli attacchi del malware Androxgh0st
  • Check Point e Intezer insieme per mappare l’APT in Russia
    Le principali minacce di marzo, ecco il borsino di…
  • cybersecurity check point
    Le minacce globali nel mese di maggio secondo Check Point
  • cybersicurezza malware check point Sicurezza informatica
    FakeUpdates è il malware più diffuso in Italia e nel mondo
  • libraesva
    Da Libraesva e Cyber Guru nasce LibraCyber
  • account email
  • antivirus
  • e-mail
  • Librava
  • malware
  • sandbox
  • thread
  • trojan
  • Virus
  • virus Ursnif
Darktrace, le criptovalute e le tecniche di cyber difesaPrecedente

Darktrace, le criptovalute e le tecniche di cyber difesa

Conformità al GDPR? Niente paura, ci pensa Commanders ActSuccessivo

Conformità al GDPR? Niente paura, ci pensa Commanders Act

Ultimi articoli

quantum computing

AI, cloud ibrido e quantum computing: IBM e le imprese

istituti scolastici

Gli istituti scolastici di Malta possono contare sui servizi Fortinet

pagamenti digitali

Pagamenti digitali e AI: sicurezza e fatturazione da Adyen

Robotics

Debutta LG Robotics Business Center a diretto riporto del CEO

hacker

Il gruppo hacker Gamaredon si concentra su obiettivi ucraini

Focus

imaging digitale

Imaging digitale: nuove sfide tra AI pervasiva e GPU

security sicurezza cybersecurity Linux

Resilienza e intelligenza artificiale: la frontiera della cybersecurity

videosorveglianza

Con l’AI la videosorveglianza è una sentinella proattiva

intelligenza artificiale

Dalla promessa alla realtà: come misurare il vero impatto dell’AI

Telemedicina

Telemedicina e intelligenza artificiale per curare i pazienti

Test

data center Asus

Micro data center per professionisti con ASUS e Asustor

router fritz

Router FRITZ!Box 6825 4G, l’ufficio sicuro in mobilità

Notebook ASUS Zenbook DUO

Notebook ASUS Zenbook DUO, due schermi sono meglio di uno

videosorveglianza

EnGenius ECC500, intelligenza evoluta e videosorveglianza 4K

data protection

QNAP Hyper Data Protection, sicurezza proattiva

SCOPRI IL MONDO QNAP

Sicurezza

istituti scolastici

Gli istituti scolastici di Malta possono contare sui servizi Fortinet

hacker

Il gruppo hacker Gamaredon si concentra su obiettivi ucraini

Security Manager

Sicurezza distribuita con SonicWall Network Security Manager

secsolutionforum 2026 la security italiana è protagonista

secsolutionforum 2026: la security italiana è protagonista

Achilles Risk Screening mitigare i rischi della supply chain

Achilles Risk Screening: mitigare i rischi della supply chain

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960