Virus Ursnif in falsa email dell’Agenzia delle Entrate

03/07/2020

Una importante campagna malevola, viene veicolata dal 2 luglio 2020 tramite messaggi di posta create ad arte per emulare una finta mail dell’Agenzia delle Entrate, attraverso la quale si invita l’utente a prendere visione del documento XLS allegato in un archivio compresso (ZIP).

Una volta estratto e aperto il file XLS inizia la catena di infezione per installare il malware Ursnif sulla macchina della vittima.

 

https://cert-agid.gov.it/wp-content/uploads/2020/07/Campagna_Ursnif_2020-07-02-300×243.png 300w, https://cert-agid.gov.it/wp-content/uploads/2020/07/Campagna_Ursnif_2020-07-02-768×622.png 768w” sizes=”(max-width: 867px) 100vw, 867px” style=”box-sizing: inherit; border-style: none; max-width: 100%; height: auto; margin-top: 1rem; margin-bottom: 1rem; font-size: 2rem !important; letter-spacing: 0.007em !important; line-height: 1.2 !important;”>

 

Osservazioni

Diventa sempre più frequente l’uso di allegati con hash differenti per ogni email al fine di rendere “inutilizzabili” gli indicatori di compromissione di tipo file.

Per questa campagna inoltre sono stati utilizzati indirizzi email mittenti creati ad-hoc attraverso una serie di domini che non espongono contenuti ma mostrano una pagina di cortesia “Apache 2 Test Page powered by CentOS“.

https://cert-agid.gov.it/wp-content/uploads/2020/07/centos_defaultpage-300×141.png 300w, https://cert-agid.gov.it/wp-content/uploads/2020/07/centos_defaultpage-768×361.png 768w, https://cert-agid.gov.it/wp-content/uploads/2020/07/centos_defaultpage.png 1471w” sizes=”(max-width: 1024px) 100vw, 1024px” style=”box-sizing: inherit; border-style: none; max-width: 100%; height: auto; margin-top: 1rem; margin-bottom: 1rem; font-size: 2rem !important; letter-spacing: 0.007em !important; line-height: 1.2 !important;”>

Dalle informazioni a conoscenza del Cert-AgID, uno dei domini C2 usato per questa campagna risulta essere stato già utilizzato in precedenza in ben 9 campagne Ursnif italiane a partire dal mese di Maggio 2020.

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

NB: Non sono riportati gli hash relativi ai file allegati poichè variano per ogni singola email.

Link: Download IoC

 
Fonte: CERT-AGID
 
 

    

    

 

 

   

          

 

 

 

TAG

Leggi anche

Corso Cybersecurity

Il corso online “Cybersecurity”, progettato e realizzato dallo Staff di Actainfo Academy, ha lo scopo di fornire ai dipendenti, funzionari pubblici e professionisti una preparazione aggiornata sulle principali sfide legate alla cybersecurity, promuovendo al contempo una cultura condivisa della sicurezza digitale. Attraverso un percorso strutturato in moduli tematici, i partecipanti apprenderanno i concetti fondamentali della sicurezza informatica, le tipologie […]

Obbligo su amministrazione trasparente – Da Giugno 2026 Manuale di conservazione e nomina del Responsabile della conservazione

Il Piano Triennale per l’Informatica nella PA 2024/2026 ha inserito una specifica Linea di azione (RA 3.3.1) che prevede entro giugno 2026 l’obbligo per le PA di verificare la pubblicazione in “Amministrazione trasparente” del Manuale di conservazione e la nomina del Responsabile della conservazione, già obbligatoria dal 1 gennaio 2022, come previsto da Linee Guida AgID sulla […]

Le nuove linee guida AgID per l’accessibilità dei servizi digitali

L’Agenzia per l’Italia Digitale (AgID) ha recentemente adottato le nuove Linee guida sull’accessibilità dei servizi digitali, approvate con la determinazione n. 38 del 4 marzo 2026 e pubblicate nella sezione “Amministrazione trasparente” del sito istituzionale di AgID. Il documento rappresenta un tassello fondamentale per garantire che i servizi digitali siano fruibili da tutti i cittadini, […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677