Malspam, Ursnif veicolato tramite false istanze CIVIS

È in corso una campagna malspam che tramite phishing con false comunicazioni dell’Agenzia delle Entrate a tema correzioni istanze CIVIS, veicola il malware Ursnif- Gozi. Lo avvisa la stessa Agenzia delle Entrate in un comunicato.

Campione e-mail (Fonte Agenzia delle Entrate)

L’utente viene indotto ad aprire un allegato pdf, che dovrebbe contenere la copia dell’operazione di correzione effettuata, mentre invece se aperto avvia la catena d’infezione del malware.

Vale la pena notare che anche il CERT-AgID ha di recente avvisato di una campagna simile con allegati PDF che contengono un link ad un file ZIP per il rilascio del payload.

Cos’è il CIVIS

CIVIS è un servizio offerto dall’Agenzia delle Entrate per chiedere assistenza su comunicazioni di irregolarità, avvisi telematici e cartelle di pagamento emesse a seguito del controllo automatizzato delle dichiarazioni.

Ursnif/Gozi

Il malware Ursnif/Gozi è stato uno dei trojan bancari più diffusi in Italia nel 2022 capace di raccogliere l’attività di sistema, registrare le sequenze di tasti, tenere traccia dell’attività di rete e archiviare i dati raccolti per poi inviarli al suo server C2. Il suo codice sorgente trapelato nel 2015 e reso disponibile su Github, ha consentito negli anni ad altri attori malevoli di svilupparne il codice aggiungendo sempre nuove funzionalità.

Consigli

Poiché questo trojan bancario si diffonde in Italia prevalentemente tramite messaggi di posta elettronica ed allegati che prendono di mira i contribuenti, per mitigare il rischio d’infezione si consiglia oltre che dotarsi di un antivirus attendibile e tenuto aggiornato, di leggere sempre con attenzione i messaggi e-mail che si ricevono e di non visitare siti web verosimili ed improbabili. Nel dubbio nei casi come questo trattato è raccomandabile verificare sempre le proprie posizioni tramite i canali ufficiali degli Enti.

AGGIORNAMENTO 30.06.2023 la campagna prosegue

https://www.agenziaentrate.gov.it/portale/web/guest/avviso-del-28-giugno-2023-civis

IoC

https://twitter.com/JAMESWT_MHT/status/1661724481830674436?t=FdnhjGhjwD6wzwapZAPiQA&s=19

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.