Proofpoint avvisa gli utenti italiani: lo stesso autore del malware Panda Banker ha diffuso oltre sei payload singoli in campagne su larga scala.
Le campagne, da centinaia di migliaia di messaggi al giorno, sono dirette ai paesi dell’Ovest Europa e al Giappone, aree in cui sta concentrando anche la distribuzione dei Trojan bancari Ursnif e URLZone Banker.
In particolare, Ursnif è un Trojan bancario tradizionale in grado di rubare dati salvati, tra cui password dai siti bancari, tramite web injection, connessioni proxy e VNC, oltre che di aggiornarsi o installare moduli da remoto.
Ursnif ha numerose varianti e nomi, quali Dreambot, ISFB, Gozi e Papras; è distribuito in campagne su larga scala, tramite centinaia di migliaia o milioni di messaggi.
Molte delle campagne di Ursnif 1000 utilizzano una combinazione robusta di tecniche di geo-fencing per verificare che gli utenti si trovino in Giappone. I messaggi rilasciano i payload attraverso documenti Excel con macro che, se abilitate, scaricano URLZone, un altro Trojan bancario, il quale a sua volta scarica Ursnif 1000.
Ursnif 4779 è solitamente distribuito in campagne dal volume più contenuto (decine di migliaia di messaggi al giorno) che colpiscono le divisioni tecnologiche, manufatturiere e verticali IT in Italia. Come Ursnif 1000, anche questa variante è associata a TA544 e condivide le tecniche di geo-fencing. Viene installato in uno dei seguenti metodi: tramite allegati Excel con macro pericolose che, una volta attivate, installano Ursnif con un codice di blocco simmetrico complesso, definito “chiave del serpente” o immagini steganografiche che nascondono i comandi PowerShell pericolosi per installare Ursnif.
I metodi di distribuzione di Ursnif variano in base alle circostanze, al target verticale e all’area geografica. Ursnif condivide il codice con molti altri Trojan bancari e il codice sorgente di una versione precedente è stato distribuito gratuitamente su forum online. Spesso, gli autori di malware modificano o adattano il codice per raggiungere obiettivi definiti.
Ursnif può essere installato come payload primario o secondario e può essere diffuso attraverso file .Zip protetti da password, allegati di Microsoft Office con macro pericolose, script JScript, JavaScript o Visual Basic compressi.
Tuttavia, gli strumenti più comuni di TA544 sono messaggi contenenti documenti Microsoft Office che includono macro, le quali una volta attivate, installano URLZone e/o Ursnif.
Per ora, Ursnif è uno dei Trojan predominanti nel panorama delle minacce. Nel Q4 2018, Proofpoint ha visto il codice raggiungere picchi costanti nel volume di messaggi. A seguito della sua natura variabile, è difficile identificare i trend di distribuzione, in quanto dipendono spesso dall’aggressore, dall’area geografica e dai target verticali.
TA544 agisce spinto da motivazioni finanziarie, utilizza una vasta gamma di payload per colpire utenti europei e asiatici. I ricercatori di Proofpoint sono stati in grado di identificare alcuni aspetti comuni tra le campagne. Una caratteristica rilevante è l’utilizzo della steganografia, il processo di occultamento del codice all’interno di immagini. TA544 ha utilizzato queste strategie nelle recenti campagne in Italia e in Giappone, sfruttando immagini relative alla cultura pop italiana, allegate a documenti Office.