Il Trojan Ursnif è stato ricondotto ad attacchi contro almeno 100 banche in Italia.
E’ da tanto che diciamo che gli attaccanti hanno un gran interesse a prendere di mira obiettivi Italiani e gli attacchi subito da questi istituti bancari ne sono la prova.
L’effetto è stato una perdita di credenziali e dati finanziari.
I ricercatori di Avst, sulla base delle informazioni raccolte, hanno dichiarato che almeno 100 banche sono state prese di mira.
In un solo caso, a un elaboratore di pagamenti senza nome sono state rubate oltre 1.700 serie di credenziali.
Sono stati trovati nomi utente, password, carte di credito, dati bancari e informazioni di pagamento che sembrano essere stati raccolti dal malware.
Scoperto per la prima volta nel 2007, Ursnif ha iniziato il suo viaggio come un semplice Trojan bancario. Il codice del ladro di informazioni è trapelato su GitHub e da allora si è evoluto ed è diventato più sofisticato, con il suo codice sviluppato in modo indipendente e che appare anche come parte del malware bancario Gozi.
Ursnif viene solitamente diffuso tramite e-mail di phishing, come richieste di fatture, e tenta di rubare dati finanziari e credenziali dell’account.
I ricercatori di Datktrace hanno documentato una campagna del 2020 in cui il malware è stato utilizzato in un attacco contro una banca statunitense. Un’e-mail di phishing è stata inviata a un dipendente che ha involontariamente aperto un allegato dannoso e scaricato accidentalmente un file eseguibile che fingeva di essere un’estensione .cab.
Questo file chiamava i server di comando e controllo (C2) registrati in Russia solo un giorno prima del lancio della campagna e, quindi, gli IP non erano nella lista nera al momento dell’infezione. Una recente tecnica di offuscamento rilevata in questo attacco è stata l’uso di agenti utente che imitano Zoom e Webex per cercare di nascondersi nel traffico di rete.
Darktrace ha anche monitorato il malware negli attacchi contro le organizzazioni negli Stati Uniti e in Italia.