Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Marzo 2023 08:58
Come già anticipato nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume.
Il CERT-AgID ha contribuito al contrasto di questa ondata condividendo i dati relativi agli specifici IoC tramite il suo apposito servizio e tramite post sui suoi canali social (Telegram e Twitter).
Il solo numero di indicatori individuati (più di 1200) rende l’idea della dimensione del fenomeno.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ursnif è noto per variare spesso le sue TTP: la tecnica maggiormente sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento ospitata su un server compromesso da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica).
Durante le azioni legate all’analisi e al contrasto del fenomeno è stato possibile recuperare alcune informazioni lasciate disponibili nelle pagine di smistamento. Queste sono localizzate su un unico server di backend dal quale sono state ricavate abbastanza liberamente informazioni sulle sue attività.
Questo tipo di informazioni ci hanno permesso di effettuare un’analisi più dettagliata sull’entità delle ondate di malware a cui abbiamo assistito.
I dati ritrovati contengono informazioni come indirizzo IP, User-Agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno visitato la pagina di smistamento. Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.
Al momento dell’analisi dei dati erano quasi 380.000 le visite alle pagine di smistamento. Il backend usato per indirizzare le vittime al payload è in grado di rilevare se la visita proviene da uno strumento automatico, ad esempio un motore di ricerca, per cui delle 380.000 visite solo 40.000 sono state classificate come provenienti da strumenti automatici.
[E’ disponibile una versione interattiva di questo grafico]
Due particolari risultano rilevanti in questo grafico:
Può risultare interessante provare ad usare una heatmap per evidenziare eventuali ricorrenze nelle TTP di Ursnif. In particolare, provare a disegnare una mappa dei giorni e delle ore più “calde”, ovvero con più visite:
[E’ disponibile una versione interattiva di questo grafico]
Si può notare come le campagne Ursnif siano pricipalmente concentrate nel mezzo della settimana (tra mercoledì e giovedì) ma lunedì 6 marzo Ursnif ha lanciato un’ulteriore campagna che ha prodotto notevoli risultati in termini di visite.
L’ora salvata nelle informazioni delle visite non è di facile interpretazione poichè non comprende il fuso orario. Ipotizzando che gli orari siano in UTC, la heatmap mostra che le visite siano raggruppate tutte nelle prima parte della giornata (l’Italia è un’ora avanti rispetto agli orari mostrati). Si evidenzia un picco nella notte tra il 6 ed il 7 marzo che non è di facile interpretazione, probabilmente dovuto a motori di ricerca o a spillover in altri Paesi.
È evidente, come si evince dai dati, che la campagna risulta mirata all’Italia ma solo poco più della metà delle visite è italiana. L’altra grande fetta è di lingua inglese. Probabilmente generata da strumenti automatici (sandbox) dato che si tratta di visite localizzate in specifici punti geografici anzichè essere distribuite più o meno uniformemente nei paesi anglofoni.
[E’ disponibile una versione interattiva di questo grafico]
A scopo puramente conoscitivo, può essere interessante classificare le visite in base al loro sistema operativo, browser e dispositivo utilizzato:
[E’ disponibile una versione interattiva di questo grafico]
Si nota che la maggior parte delle visite avviene da dispositivi in cui è presente il sistema operativo Windows, l’altra grande fetta riguarda i dispositivi mobili (Android, iOS) e solo in misura minore macOS e Linux (il meno usato di tutti). Questo, ancora una volta, spiega il perchè dell’ampia diffusione di malware per sistemi Windows rispetto ad altri sistemi operativi.
[E’ disponibile una versione interattiva di questo grafico]
I dati sui browser usati non inducono a particolari spunti ma riflettono più che altro le preferenze degli utenti.
[E’ disponibile una versione interattiva di questo grafico]
La maggior parte dei dispositivi che hanno visitato la pagina di smistamento erano quindi Personal Computer, in sintonia con il grafico dei sistemi operativi. La fetta di dispositivi mobili costituisce comunque quasi un 30% del totale anche se Ursnif non si è mai volutamente espanso al settore mobile.
E’ possibile raggruppare le visite per indirizzo IP, in modo da osservare quante volte un singolo indirizzo IP ha visitato una delle pagine di smistamento. Visite multiple si possono attribuire ai meccanismi di NAT o a connessioni condivise. Per rendere il grafico leggibile viene mostrato solo il numero di visite reiterate se sono presenti almeno 1000 IP diversi con tale numero.
[E’ disponibile una versione interattiva di questo grafico qui]
La maggior parte degli IP ha visitato le pagine una sola volta ma più di 20.000 IP le hanno visitate due volte e più di 2000 per ben 10 volte. Come già detto sopra, questo si può spiegare con connessioni o indirizzi condivisi (es: in caso di aziende o PA dietro sistemi indirizzati via NAT o dietro proxy, in cui due o più dipendenti visitino il link) o per via dell’utilizzo di strumenti di analisi/automatici.
Per concludere questa disamina, è sicuramente significativo mostrare sulla mappa le posizioni degli IP che hanno visitato le pagine di smistamento.
[E’ disponibile una versione interattiva di questo grafico]
È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate pricipalmente per l’Italia.
Uno zoom specifico per l’Italia mostra in dettaglio il fenomeno:
RedazioneIl team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
