Il CERT-PA ha avuto evidenza della diffusione di e-mail di malspam volte alla diffusione del malware Ursnif.

Le mail si presentano in italiano con evidenti errori ortografici e grammaticali.

’oggetto dell’e-mail è Relazione di notifica atto N. X del D, dove X e D sono rispettivamente un numero ed una data. Nel corpo dell’e-mail è presente un link ad un documento ZIP (scaricabile solo con un UA indicante il sistema operativo Windows) il quale contiene un’immagine ed un file VBS.

L’immagine ha lo scopo di confondere l’utente per aumentare le probabilità che esegua lo script VBS.

Lo script VBS, lievemente offuscato e di dimensioni di circa 1,8 MB, ha il compito di scaricare il payload finale (utilizzando un User Agent arbitrario) e di eseguirlo.

Il payload è un eseguibile non ancora analizzato, il C&C utilizzato dal malware sembra noto per aver veicolato Ursnif, tuttavia non si hanno al momento evidenze che si tratti effettivamente del medesimo malware. Analisi successive hanno confermato che trattasi di Ursnif.

FONTE: CERT-PA, https://www.cert-pa.it/notizie/ondata-di-malspam-con-finte-sentenze-legali/