Ursnif minaccia l’Italia, il Trojan può rubare dati bancari attraverso finte fatture

Date:

Share post:

I ricercatori di Proofpoint hanno monitorato due grandi campagne email, condotte utilizzando messaggi in lingua italiana nel tentativo di distribuire il Trojan bancario Ursnif utilizzando fatture false. La prima campagna si è svolta dal 28 al 30 luglio 2020, con l’invio di oltre 40.000 messaggi. La seconda campagna è iniziata il 4 agosto 2020 ed era ancora in corso il 6 agosto. I messaggi sono stati inviati a aziende manifatturiere, tecnologiche, informatiche, telecomunicazioni, realtà pubbliche, industriali, del retail e servizi di business.

Le email della prima campagna sembrano provenire da un indirizzo email “brt.it” e si tratta di una copia del dominio legittimo di Bartolini, uno dei principali corrieri in Italia. Le email avevano come oggetto “BRT S.P.A. – Codice cliente 01047835 (ID3899642)” o “BRT S.P.A. – Sollecito pagamento fatture 01858266 (ID6907514)” e includevano una dettagliata fattura ovviamente falsa, che dichiarava il mancato pagamento di 1.284 euro, comunicando al destinatario di avere cinque giorni di tempo per provvedere, con tutti i dettagli su dove e come effettuare il pagamento.

ursnif trojan

 

Come entra in azione il Trojan Ursnif

L’email contiene anche un file Microsoft Excel allegato con il nome “Fattura_XXXXXXX.xlsm” dove “XXXXX” è un numero a cinque cifre apparentemente casuale. Quando l’allegato viene aperto, il destinatario vede un foglio di calcolo Excel che mostra il logo e il marchio di BRT. Il foglio di calcolo contiene delle macro che, se abilitate dal destinatario, scaricano Ursnif.

Anche i messaggi della seconda campagna impersonano BRT e sembrano provenire da “brt.it”. Avevano come soggetto “Rimessa contrassegni a mezzo bonifico bancario (ID 2695259)”. Anche questo messaggio contiene un documento Microsoft Excel allegato che una volta aperto e abilitate le macro scarica Ursnif.

Ursnif è un Trojan (un tipo di malware) bancario che può rubare dati da siti bancari e dal sistema della vittima ed è stato ampiamente utilizzato negli attacchi in lingua italiana. A luglio 2020 Proofpoint ha registrato 129.604 messaggi in italiano che tentavano di consegnare Ursnif in Italia. Da marzo 2018, sono addirittura 4.987.196 i messaggi in lingua italiana rilevati.

Proofpoint è una compagnia che ha il ruolo di proteggere gli utenti da minacce informatiche di questo tipo. Il responsabile principale di questi attacchi pare sia un gruppo di hacker chiamato TA544 ed è specializzato in attacchi Ursnif. Dal 2018 il gruppo ha preso di mira l’Italia.

Marco Inchingoli
Marco Inchingoli
Nato a Roma nel 1989, Marco Inchingoli ha sempre nutrito una forte passione per la scrittura. Da racconti fantasiosi su quaderni stropicciati ad articoli su riviste cartacee spinge Marco a perseguire un percorso da giornalista. Dai videogiochi - sua grande passione - al cinema, gli argomenti sono molteplici, fino all'arrivo su FocusTech dove ora scrive un po' di tutto.

Related articles

Hai un pacco in attesa di consegna: attenzione alla truffa

Avete ricevuto un'e-mail in cui venite avvisati che bisogna programmare la consegna di un pacco che sta per...

Tè caldo e microplastica: miliardi di frammenti dalle bustine

Se ci sarà una parola del decennio, microplastica sarà sicuramente tra le pretendenti. Viviamo in una società che...

Epidemia di morbillo in Congo: una crisi che miete migliaia di giovani vite

La Repubblica Democratica del Congo (RDC) sta attualmente affrontando una grave epidemia di morbillo che ha causato la...

JVC HA-S36W: cuffie wireless economiche con 35 ore di autonomia

Le cuffie wireless JVC HA-S36W si distinguono come un'opzione economica ma funzionale nel mercato delle cuffie wireless. Con...