L’esca usata stavolta sono delle false rimesse di contrassegni

Roma – Una nuova campagna di mal spam è in corso in Italia per diffondere il famigerato Ursnif che già ha mietuto tantissime vittime. Ad annunciarlo sono stati gli esperti della sicurezza informatica del CSIRT-Italia, mettendo in guarda da e-mail con oggetto: «Rimessa contrassegni a mezzo bonifico bancario (ID00XXXXXX)». Stavolta i cyber-criminali usano come esca dei falsi rimborsi di contrassegni, attraverso messaggi dove il malware si attiva semplicemente con l’apertura degli allegati e l’attivazione delle macro. In particolare gli esperti del CSIRT –Italia dichiarano che «in questa campagna i phisher hanno cambiato approccio rispetto alle precedenti modalità, nelle quali l’attaccante puntava ad ingannare l’utente con un sollecito di pagamento per una fattura non pagata ovvero attraverso l’inoltro di una finta e-mail dell’Agenzia delle Entrate. Infatti – continuano gli esperti – al fine di rendere credibile la comunicazione, l’autore utilizza riferimenti riconducibili al corriere espresso BRT, invitando la vittima a consultare la disposizione di un presunto bonifico bancario a proprio favore. Il messaggio e-mail contiene un documento Microsoft Office Excel (formato XLS) con macro VBA (Visual Basic Application) malevola. All’apertura del file, viene presentato un documento il cui logo sembrerebbe ricondurre al corriere espresso BRT. L’eventuale abilitazione della macro avvia l’esecuzione di codice con conseguente connessione al dominio fattnumdelordine[.]com appositamente attivato per scaricare un payload in formato DLL. Successivamente la catena di infezione prevede il contatto al server C2 statoffbal[.]com, dal quale viene scaricato codice riconducibile al malware bancario Ursnif».