Una nuova campagna a tema Agenzia delle Entrate sta diffondendo il malware Ursnif

Redazione RHC : 27 Settembre 2023 12:47

il CERT-AgID questa mattina ha riportato all’interno del proprio canale Telegram, la diffusione nel perimetro italiano di una nuova campagna di malspam.

Nello specifico, si tratta di una nuova campagna che diffonde il malware Ursnif a tema Agenzia delle Entrate che fa riferimento ad alcune incoerenze con l’Agenzia.

Non è la prima volta che il malware Ursnif viene diffuso in questo modo e non è neanche la prima volta che il tema della campagna sia l’Agenzia delle Entrate.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

L'acquisto del fumetto sul Cybersecurity Awareness

Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Ursnif è noto per variare spesso le sue TTP: la tecnica maggiormente sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento ospitata su un server compromesso da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica).

In questo specifico caso, le e-mail contiene un allegato ZIP con all’interno un file URL che fa riferimento ad un secondo ZIP in una share pubblica.

All’interno del secondo archivio è presente un file VBS che scarica un payload dannoso.

Come già osservato per altre campagne dello stesso tipo, sono usati collegamenti che puntano a file su share pubbliche.

Si invita a prestare attenzione ad e-mail contenenti allegati e di verificare la propria posizione con l’Ente solo dal portale ufficiale.

Gli indicatori relativi a questa campagna sono già stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.

{
    "bf1a86ce-3cb9-4f6a-8fd2-49f88274aa91": {
        "event_id": 15217,
        "created_at": "2023-09-27T06:53:48.836174+00:00",
        "updated_at": "2023-09-27T07:21:38.352766+00:00",
        "name": "Campagna Ursnif a tema Agenzia Entrate",
        "description": "E-mail in italiano con allegati ZIP con all'interno VBS o file URL e connessione SMB",
        "subject": null,
        "tlp": "0",
        "campaign_type": "malware",
        "method": "attached",
        "country": "italy",
        "file_type": [
            "zip",
            "vbs",
            "exe",
            "url"
        ],
        "theme": "Agenzia Entrate",
        "malware": "Ursnif",
        "phishing": null,
        "via": "email",
        "tag": [
            "SMB"
        ],
        "ioc_list": {
            "md5": [
                "83b57be91d269a4ec7f55d00d8931821",
                "d78fe505e997d8a17d7af2bff3adcc7b",
                "a66c5b61ee043aa0b1cb3022cdee9658",
                "8fe24a251b6700f0258b2fea5e801516",
                "7ffb76b406f9d04d855b9c8caddd16d4",
                "786bc71f183a089f06eed4244c5ff447",
                "ad114835e62bf89f26f5e9231cb50bba"
            ],
            "sha1": [
                "14b45dc1b60a0611608629765a582b3b6f868043",
                "f8b0fe2e956b50a65eb722a1792fa5f16be9892e",
                "01795f351b8179d956711749832c53d17e90aee7",
                "7a8da6f58e4957b7a921ba2828b3fc17bad6894e",
                "06aa0bc55c3d414b482a3c05a6192e03d1c4643d",
                "730b66522c2f892bada1002598672cd4081e4e6e",
                "8488c8e0ccaa295abf262b532aa60cbf2d29e200"
            ],
            "sha256": [
                "53adf5fee5e968f91258fe456c271482ec73cad91d9741b8b7ee0ce883ff2f73",
                "ccfbe2e0f6f09ad720783e1c1c0d7e6504cec870a6a9842957e6082dac66d17e",
                "12286ad73ac4c49077cfa7365e67ab58e91baf55140fe9b5e0fcf08c8432e8e6",
                "8b35f64e018365449728000cd8029249d46598deb64d823b6b5f1b61fcfdedee",
                "af5ab2fe7ce0179797ec567321195cedab5285daceaf11cac64d762c2d1734ca",
                "d41f777212f6f77b34f10eedbb0e4e36eea69059519f1b5fc399e3754a1e25f6",
                "108b8215bfc3a88cf529046b592858d0f80810e76a48b3090d57a73acd3f04f5"
            ],
            "imphash": [],
            "domain": [
                "serverlogins.com"
            ],
            "url": [
                "http://31.41.44.28/jerry/",
                "http://serverlogins.com/service.exe",
                "http://46.8.19.158/jerry/",
                "http://146.19.233.250/jerry/"
            ],
            "ipv4": [
                "146.19.233.250",
                "62.173.146.12",
                "31.41.44.28",
                "46.8.19.158",
                "62.173.146.20",
                "62.173.146.13",
                "62.173.145.113",
                "62.173.145.210",
                "62.173.145.164"
            ],
            "email": []
        },
        "email_victim": [],
        "ioca_version": "1.0",
        "organization": "cert-agid"
    }
}

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Una nuova campagna a tema Agenzia delle Entrate sta diffondendo il malware Ursnif

Articoli in evidenza

Categorie