techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • Focus
    • Cybertech Europe 2022
  • Interviste
HomeSicurezzaNews analisiLibraesva, attenzione alla nuova versione del trojan Ursnif

Libraesva, attenzione alla nuova versione del trojan Ursnif

9 Aprile 2018 Barbara Tomasi
Libraesva, attenzione alla nuova versione del trojan Ursnif

Libraesvamette in guardia contro una nuova versione del virus Ursnif, che fa incetta di account email, inserendosi in thread di comunicazione attivi, passati o archiviati.
Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che quindi continua a propagarsi senza che mittenti o vittime se ne accorgano.
Ursnif è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali; il malware stesso continua a cambiare nel tempo.
Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware” che renderebbe più difficile per il destinatario rilasciarle.

Allarme rosso per i Trojan mutanti Ursnif
Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono talmente convinti che si tratti di una email legittima, che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente. 

A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga.
Il messaggio della mail contiene pochissime parole: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti” seguito dalla firma reale dell’account infetto e dal thread di posta elettronica esistente sotto. Una frase scritta in un italiano scorretto, ma questo non sembra comprometterne l’efficacia.

L’allegato, solitamente denominato “Richiesta.doc”, è un documento word che finge di essere stato creato con una versione precedente di Microsoft Office e, come di consueto, invita l’utente ad abilitare le macro. Le macro sono offuscate, continuano a cambiare per non essere scoperte dai sistemi basati su firma e pattern e contengono un’azione di AutoOpen che esegue uno script powerhell che scarica e installa il payload.

I motori antivirus stanno rilasciando ogni giorno centinaia di nuove regole di rilevamento per questi campioni in continua evoluzione, ma la latenza del processo garantisce la consegna di molti campioni che non sono ancora stati identificati dai motori antivirus. Questa campagna, così come altre campagne di malware come Emotet, ad esempio, ha un dropper in continua evoluzione che evidenzia tutti i limiti degli approcci di difesa basati su firme e modelli.
Queste email vengono messe in quarantena dai controlli del contenuto e gli allegati vengono bloccati o disarmati dal servizio di sandboxing QuickSand di Libraesva, un servizio che rimuove il codice attivo quando sono presenti le operazioni tipiche che abilitano la funzionalità del dropper.

Rodolfo Saccani, Security R&D Manager di Libraesva
Nonostante queste email siano bloccate da livelli aggiuntivi di protezione, come la sandbox Libraesva, la componente di phishing è così forte che alcuni utenti volontariamente aggirano tutti i controlli di sicurezza e vengono comunque infettati. Questo semplice trucco del phishing può indurre lo stesso destinatario a compiere un lavoro non indifferente che finisce per aiutare gli autori del malware: rilasciare l’email dalla quarantena, aprirla, lanciare l’allegato, abilitare le macro e in alcuni casi anche segnalare l’email come un falso positivo.

Si tratta di un approccio che non presenta gli svantaggi degli approcci basati sulle firme e che si è dimostrato molto efficace nel bloccare varianti di malware sconosciute e in continua evoluzione.

Related Posts:

  • email marketing
    Mapp ne è convinta: l’email marketing è ancora attuale
  • sicurezza informatica
    Email security, come l’intelligenza artificiale ha cambiato…
  • malware
    Check Point, è in arrivo MaliBot nuovo banking malware per…
  • cybersecurity
    Attenzione alla tecnica del vishing. Eset spiega cos'è e…
  • check point software technologies
    Check Point scopre un pericoloso malware all’interno di 9…
  • Minacce informatiche
    Minacce informatiche in Italia, quali sono le principali e…
  • account email
  • antivirus
  • e-mail
  • Librava
  • malware
  • sandbox
  • thread
  • trojan
  • Virus
  • virus Ursnif
Darktrace, le criptovalute e le tecniche di cyber difesaPrecedente

Darktrace, le criptovalute e le tecniche di cyber difesa

Conformità al GDPR? Niente paura, ci pensa Commanders ActSuccessivo

Conformità al GDPR? Niente paura, ci pensa Commanders Act

ULTIMI ARTICOLI

landing page

La piattaforma Skebby.it presenta il servizio di landing page

epyc

AMD EPYC con i processori AMD serie 8004

splunk

Cisco acquisisce Splunk: più sicurezza e observability nell’AI

Intel

Intel: le opportunità dell’AI sono sicure e accessibili

red hat openshift

Più scelta e collaborazione più ampia tra Red Hat e Oracle

LEGGI LO SPECIALE PHILIPS

FOCUS

network assurance traffico dati Connettività

Connettività evoluta per uffici e imprese

lavoro ibrido

Lavoro ibrido e digital workspace, stili di vita e opportunità

cloud data center

L’evoluzione continua e il ruolo dei data center

patching edr security

EDR Security, monitoraggio e patch management

Sicurezza aziendale protezione dati sicurezza informatica

Protezione dati aziendali, sicurezza oltre il perimetro

SPECIALE SICUREZZA

security

Cybertech Europe Roma, le nuove frontiere della security

Sophos

I nuovi trend dei cybercriminali, Sophos lancia l’allarme

SASE

Sicurezza SASE, PLINK per Goglio S.p.A.

ESET, pen drive USB usati? malware

Sogu e Snowydrive, due campagne di malware via USB

Fortinet FortiGate

Fortinet espande FortiSASE, la soluzione single-vendor

TEST

wd blue

WD Blue SN580 NVMe SSD, storage mainstream affidabile

backup pc

Synology BeeDrive, backup PC e smartphone semplificato

NAS QNAP

NAS QNAP TS-855X, virtualizzazione e archiviazione ibrida

multifunzione brother

Multifunzione Brother MFC-EX670, integrazione e performance

synology

Synology DS1823xs+, CPU Ryzen V1780B e LAN 10 GbE

TECH

Intel

Intel: le opportunità dell’AI sono sicure e accessibili

oracle

Oracle: i punti salienti emersi al CloudWorld 2023

SASE

Sicurezza SASE, PLINK per Goglio S.p.A.

cloud

Axiante e il cloud: pianificare il passaggio per gestire costi e rischi

assistenza macchinari

Sfatare i falsi miti su manutenzione e assistenza macchinari

Praim
  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960