In occasione delle imminenti festività natalizie, i cyber criminali tornano a veicolare Ursnif in Italia tramite email contenenti una falsa fattura DHL. La medesima tipologia di malspam è stata individuata ed analizzata dal CERT-PA in un apposito bollettino nel mese di giugno e successivamente riproposta nel mese di settembre 2019.

Le mail, indirizzate a enti pubblici e privati, presentano due allegati: un documento XLS e un documento di tipo PDF.

1. 09122019_100348_1_001.pdf
2. MIL0001772313.xls

Il PDF riporta il logo di DHL ed un testo nel quale viene sollecitato il pagamento per una fantomatica fattura non pagata, il file XLS è responsabile della catena di infezione.

Una volta aperto il documento XLS ed abilitate le macro, lo script malevolo provvede a compromettere il sistema Windows sul quale è stato lanciato. Ma prima di procedere con la compromissione esegue alcune verifiche per accertarsi che il target sia italiano.

Accertatosi che il target sia corretto, esegue uno script powershell assemblato dai vari pezzi disposti su specifiche celle del foglio di calcolo.

In fine rilascia un file PE che da quanto si è potuto notare contatta un C&C già utilizzato da Nanocore Rat nelle campagne precedenti.

FONTE: CERT-PA, https://www.cert-pa.it/notizie/riparte-la-campagna-ursnif-tramite-false-fatture-dhl/