Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia

 

La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all’uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l’ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi.
Prima dell’entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L’utilizzo della PEC infatti rende più credibile l’email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi.
Nuova campagna malware via PEC

I ricercatori di Yoroi hanno denunciato, qualche giorno fa, un attacco in corso ai danni di numerose organizzazioni italiane: l’attacco avviene appunto via PEC contenenti allegati Excel infetti. Scopo dell’attacco è infettare il sistema con malware della famiglia di infostealer Ursnif (vedi sotto).

Gli allegati Excel sono pensati appositamente per utenti italiani:  il codice macro dannoso contenuto al loro interno, infatti, si attiva solo se il pacchetto Office è configurato in lingua italiana. In questo caso viene eseguito codice powershell dannoso, nascosto tramite steganografia. La steganografia (dal greco “scrittura nascosta”) è una tecnica che consente di nascondere l’esistenza stessa del messaggio, occultandolo entro un mezzo “neutro”:  in questo caso è un’immagine. Nelle immagini sottostanti è possibile vedere come si presenta l’allegato Excel dannoso e l’immagine in cui è nascosto il codice dannoso.
Le email recano, in oggetto, le seguenti diciture:
  • I: Fattura corretta
  • I: Obbligo fatturazione dal 1° Gennaio 2019
  • R: SCADUTO
  • Avv. scad.
  • fattura in scadenza
  • I: AVVISO DI PAGAMENTO
  • I: bonifico ricevuto in data odierna
  • NS.ORDINE NR.0030961 DEL 30/01/19
Gli allegati sono invece rinominati come:
  • DOC_S.P.A._N_2332_DEL_01_19.XLS (o varianti)
  • DEL_2019_01_S.R.L._N__183382.XLS
  • F.DOC.2019 A 113 SPA.xls
Che cosa è Ursnif?
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose.  Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).  Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB.  E’ già stato usato molteplici volte contro utenti italiani.