Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

ALERT! Due nuove campagne di distribuzione del ransomware GandCrab con l'infostealer Ursnif.
- LUNEDÌ 28 GENNAIO 2019


I ricercatori di sicurezza hanno individuato due diverse, ma capillari, campagne di diffusione malware: la prima diffonde il ransomware GandCrab assieme al trojan per il furto di informazioni Ursnif; la seconda invece infetta gli utenti solo con Ursnif.  Le due campagne sono state messe in relazione perché presentano molti punti in comune: difficile dire con certezza che siano opera dello stesso gruppo di cyber truffatori, ma le somiglianze non mancano. 

Il vettore di attacco iniziale è, in entrambi i casi, un documento Microsoft Word contenente una macro dannosa, diffuso tramite la classica email di phishing approntata per confondere gli utenti e indurli ad aprire l'allegato e abilitare la macro. La particolarità di questa macro è che usa Powershell per diffondere un malware fileless. Per malware fileless intendiamo quei malware che non necessitano di file salvati in locale, nella memoria del dispositivo, per eseguire le attività dannose: questa peculiarità li rende molto difficili da individuare da parte degli antivirus. 


In breve...
  • Ursnif è un data-stealer malware che si concentra principalmente sul furto di informazioni sensibili dai computer compromessi: mira sopratutto a credenziali bancarie, attività di navigazione tramite borwser, registrazione delle battiture sulla tastiera, informazioni di sistema e sui processi in esecuzione. In alcuni casi distribuisce sul dispositivo infetto perfino una backdoor. 
  • GandCrab è un ransomware ormai molto famoso con una diffusione molto ampia: come tutti i ransomware, cripta i file presenti sul sistema bersaglio e richiede un riscatto alle vittime per rimettere i file in chiaro. L'ultima versione è la 5.1. 
La prima campagna di diffusione
La prima delle due campagne usa circa 180 diverse varianti di documenti MS Word contenenti una macro VBS dannose. Se eseguita, la macro VBS esegue a sua volta uno script PowerShell che usa quindi una serie di tecniche per scaricare ed eseguire sia Ursnif che GandCrab sul sistema bersaglio.

Lo schema di infezione

Lo script PowerShell è criptato in base64 ed è  responsabile dello stadio successivo dell'infezione: questo, a sua volta, è responsabile del download del payload principale. 

Il payload principale/finale è una variante di GandCrab, che cripta tutti i file e chiude la vittima fuori dal sistema operativo finchè non ha pagato il riscatto. Nel frattempo l'eseguibile di Ursnif viene scaricato da un server remoto e eseguito: inizia così il monitoraggio quasi completo del sistema della vittima. Tutti i dati rubati vengono inviati al server di Comando e Controllo degli attaccanti. 

La seconda campagna
Similmente, la seconda campagna sfrutta un documento Microsoft Word contenente una macro dannosa VBA per diffondere una variante diversa di Ursnif. 


Questo attacco prevede più fasi per la compromissione del sistema bersaglio: anche in questo caso sono usati comandi PowerShell per ottenere la persistenza "file-less" sul sistema e quindi scaricare ed installare il malware per il furto di informazioni Ursnif. 

Da quando viene eseguito, Ursnif raccoglie informazioni dal sistema, li organizza in un file .CAB e li invia al server C&C tramite connessione sicura HTTPS. 

Consigli...
Quick Heal difende i tuoi dispositivi da questi malware a più livelli, prima che siano entrati nel sistema e anche in seguito, nel caso i primi livelli di difesa non fossero sufficienti.  Indubbiamente però, la prima difesa è la consapevolezza:  è assolutamente sconsigliabile scaricare, aprire allegati e abilitare macro contenuti in email inaspettate, sospette e dal mittente incerto. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 18 NOVEMBRE 2019
Quick Heal supporta il Windows 10 November Update
Microsoft ha diffuso recentemente il nuovo aggiornamento cumulativo per i pc che eseguono Windows 10, chiamato Windows 10 November Update.   Ecco alcune de...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login