False email INPS per campagna malevola Ursnif

27/08/2020
Nuovo allarme troian. Facendo leva su fantomatiche discordanze relative al versamento dei contributi previdenziali, i criminali invitano, attraverso una falsa email dell’INPS, le proprie vittime a scaricare un allegato XLS proponendolo come un bollettino INPS precompilato per richiedere il rimborso.

Struttura dell’allegato XLS con invito a selezionare il link malevolo:

Il file XLS contiene una macro Excel4, con valori di formule e di costanti in chiaro, il cui scopo è quello di scaricare e registrare una DLL acquisita da un repository remoto.

undefined 300w” alt=””

Una volta registrata la DLL ha inizio la catena di infezione Gozi/Ursnif che prova a dialogare con una lunga lista di C2.

Osservazioni

  • Il template di questa mail è identico a quello utilizzato per la campagna precedente che veicolava il malware ursnif tramite allegato JNLP.
  • La campagna sembra essere indirizzata a strutture private, al momento non si ha evidenza della campagna in ambito PA.
  • Dei 13 C&C individuati, 12 erano già noti a partire dal mese di maggio 2020 come riportato nella tabella seguente.
C2 Campaigns First seen
gstat.sloleaks.com 11 05/2020
gstat.securezal.com 5 05/2020
gstat.securezal.xyz 4 05/2020
gstat.premiamo.eu 4 05/2020
gstat.secundamo.com 4 05/2020
gstat.secundato.net 4 05/2020
gstat.secundato.com 4 07/2020
gstat.securanto.com 3 07/2020
gstat.premiamo.com 3 07/2020
gstat.securezzis.net 3 07/2020
gstat.securanto.net 3 07/2020
gstat.securezzas.com 3 07/2020

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

Link: Download IoC

TAG

Leggi anche

I 4 Pilastri di Actainfo secondo AI

I 4 pilastri di Actainfo

Per valutare i servizi di Actainfo e i vantaggi per i clienti, senza incorrere nel condizionamento derivante dal valutare in prima persona il proprio operato, abbiamo individuato un soggetto completamente terzo, non condizionabile, individuandolo in un modello gratuito di intelligenza artificiale generativa – LLM – Large Language Model. Al modello di Intelligenza Artificiale abbiamo chiesto […]

AI Copilot di Microsoft accede senza permesso a email riservate

Copilot, AI di Microsoft, accede e sintetizza email contrassegnate come riservate, ignorando le policy di Data Loss Prevention configurate dalle organizzazioni. Il bug ha interessato gli ambienti aziendali, dove Copilot è integrato come strumento di produttività avanzata. Nonostante le protezioni aggiuntive presenti nella versione enterprise, l’anomalia ha aggirato tali meccanismi, rendendo inefficaci le policy di […]

Comune di Pescara: Parere Negativo del Garante Privacy sulle Body Cam per la Polizia Locale

Il Garante per la Protezione dei Dati Personali ha espresso un parere negativo sulla valutazione di impatto per la protezione dei dati personali (DPIA) presentata dal Comune di Pescara relativa all’utilizzo delle body cam da parte degli agenti di polizia locale. La decisione è stata motivata da numerose criticità riscontrate nel sistema proposto, nonostante le […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677