A scoprirla per primo il ricercatore indipendente di cyber security JamesWT
Roma – Una doppia campagna per diffondere il malware Ursnif in Italia ha preso di mira i Comuni italiani. A denunciare il fenomeno criminale la Cert-PA, dopo che a scoprirle è stato un ricercatore indipendente di sicurezza informatica, tale JamesWT. Nel primo caso la vittima si trova ad affrontare un file .doc contenente una macro malevola, artefice dell’infezione del malware. Nella fase di compromissione, questa provvede a scaricare un file di tipo .xml, opportunamente rinominato in .xls. Nel secondo caso invece viene usato un file .vbs. In questi attacchi diretti ai Comuni si spingono le vittime ad aprire gli allegati, portando ad infettare le postazioni. L’esca è quella di usare account compromessi in cui sono presenti messaggi inviati alle nuove vittime individuate. Quando invece i bersagli sono generici si parla nelle email di presunte pendenze legali del tribunale che portano le vittime ad aprire gli allegati. Gli analisti informatici hanno anche rilevato che il malware possiede una funzione in grado di individuare la tipologia di pc compromesso, cercando di rilevare se il computer Windows sia o meno parte di una rete aziendale. Per questo verifica che il nome macchina sia diverso dal nome dominio e se ciò accade, procede al download di un file con estensione .cabz; in caso contrario scarica un file .cab..
.