CERT-AGID располагает данными о ведущейся в настоящее время вредоносной кампании, направленной на распространение вредоносной программы Ursnif через электронное письмо, содержащее ложное сообщение от Службы внутренних доходов.
В письме жертве предлагается просмотреть информацию в прикрепленном архиве (ZIP), который, в отличие от ранее проанализированных кампаний Ursnif, содержит папку "Dicembre", внутри которой находятся два файла: интернет-ярлык "Dicembre.url" и изображение "Logo_Agenzia_Entrate.jpg".
Исполняемый файл Ursnif загружается и исполняется в системах Windows через инструкции в файле 'December.url' (Internet Shortcut) по пути, указанному в URL (SMB).
Indicators of Compromise
IPv4
- 185.31.160.147
- 185.31.160.229
- 185.31.162.9
- 31.41.44.60
- 31.41.44.63
- 31.41.46.120
- 31.41.46.132
- 62.173.147.113
- 62.173.147.122
URLs
- http://185.31.160.147/drew/
- http://185.31.160.229/images/
- http://31.41.44.60/images/
- http://31.41.44.63/drew/
- http://31.41.46.120/drew/
- http://31.41.46.132/images/
MD5
- 8218afad83fb684d9150c9ad50a13543
- de94eda4cd2b1dc57e8e4074215c7297
- e4b32834db62089dd80d153e48a7a455
SHA1
- be82ec659b677ec1ddaf6acee4731bf3e6a75897
- c9e7b5204e81ff04d491a0f4016576164ff99f6a
- f9db31f8b311e8f144f3dfc87afb64d334dd4141
SHA256
- 444d2b92c6a4dd7db0d246ce341741fa3aa39ff460ed411c31fec87133636f60
- 4a6ebf8145259b90e3b7193e16ce2d785b893c1ae865d8669f62f420e87dddd6
- f25f912bc4d54739cc10bf7afc1393a0316c32c07269797607e790fa2ec91d20
