Da “www.cert-pa.it” fonte sito web
Il CERT-PA ha avuto evidenza della diffusione di e-mail di malspam volte alla diffusione del malware Ursnif.
Le mail si presentano in italiano con evidenti errori ortografici e grammaticali. Di seguito uno screenshot.
L’oggetto dell’e-mail è Relazione di notifica atto N. X del D, dove X e D sono rispettivamente un numero ed una data. Nel corpo dell’e-mail è presente un link ad un documento ZIP (scaricabile solo con un UA indicante il sistema operativo Windows) il quale contiene un’immagine ed un file VBS.
L’immagine ha lo scopo di confondere l’utente per aumentare le probabilità che esegua lo script VBS.
Lo script VBS, lievemente offuscato e di dimensioni di circa 1,8 MB, ha il compito di scaricare il payload finale (utilizzando un User Agent arbitrario) e di eseguirlo.
Il payload è un eseguibile non ancora analizzato, il C&C utilizzato dal malware sembra noto per aver veicolato Ursnif.