Samma e-postmeddelanden men samma virus: den ständigt närvarande skadlig kod Ursnif attackerar bankkonton på nätet igen
Två farliga phishing-kampanjer, som för närvarande pågår i Italien, försöker utnyttja namnen på två välkända företag för att sprida ett mycket farligt virus. Företagen i fråga är Vodafone och Enel Energia, och viruset är banktrojanen Ursnif, som kan tömma ditt bankkonto.
De falska Vodafone-e-postmeddelandena upptäcktes av säkerhetsforskaren JamesWT, medan de som utnyttjar Enels namn upptäcktes av det italienska cybersäkerhetsföretaget D3Lab, som också arbetar med Cert, Computer Emergency Response Team of the Agency for Digital Italy, som är en del av premiärministerns kansli. Båda kampanjerna syftar till att sprida Ursnif-viruset, en trojan som enligt Trend Micro är en nära släkting till Emotet, Gozi, BitPaymer, Dridex och GameOver Zeus. Så här känner du igen falska e-postmeddelanden för att skydda dig mot attacken.
Falskt Vodafone-meddelande med Ursnif-virus: så känner du igen det
Det falska Vodafone-meddelandet är det lättaste av de två att känna igen eftersom det har en mycket otrolig avsändare: [email protected]. Problemet är att många användare inte läser avsändaren utan tar e-postmeddelandets text för verklig.
Tyvärr visar meddelandet även de klassiska tecken som borde skrämma dem som tar emot dem. Framför allt finns det grammatiska fel: "Som du begärde har vi bytt ut ditt telefonkonto från din tidigare operatör till Vodafone genom att aktivera Vodafone Ready-erbjudandet. Bifogat finner du en fil med detaljer och kostnader för övergången, som kommer att debiteras direkt från det bankkonto som du anger varje månad".
Den bifogade filen är en lika otrolig "IlUfY.zip"-fil. Men om den olyckliga användaren öppnar bilagan hittar han en Excel-fil med ett annat meddelande inuti: "Det här dokumentet är skyddat. Krypterad av DucuSign. Om du vill se dokumentet klickar du på Aktivera redigering och sedan på Aktivera innehåll.
Under meddelandet finns logotyperna för Microsoft, McAfee, Symantec och RSA Security Analytics. Kort sagt, ett helt paket med helt falsk information för att få användaren att klicka på Enable Modify och Enable Content, som i praktiken är Office 365-kommandon för att aktivera utförandet av de skript som finns i filen.
Falskt e-postmeddelande från Enel Energia med Ursnif-virus: så känner du igen det
Det andra nätfiskemeddelandet som har cirkulerat under de senaste timmarna, det i Enel Energias namn, är mer sofistikerat. Avsändaren är i själva verket [email protected], vilket är lika falskt men mycket mer trovärdigt än det föregående. E-postmeddelandets ämne är en klassiker: "Betalningspåminnelse".
Kommentaren i e-postmeddelandet är på bra italienska, utan några fel, och nämner några obetalda förfallna räkningar. I praktiken är det en påminnelse om att betala Enel Energias räkningar, som uppgår till flera hundra euro.
Det råder ingen brist på uppgifter och betalningsmetoder, den vanliga bilagan och länkar till Enels webbplats. I det här fallet är det därför lättare att falla i fällan eftersom det inte finns några uppenbara tecken på att e-postmeddelandet är falskt.
Ursif: varför det är ett mycket farligt virus
Båda e-postmeddelandena bär på det skadliga programmet Ursif. Detta är en av de mest utbredda banktrojanerna i Italien (vilket tyvärr också innebär att den är en av de mest effektiva).
När Ursnif exekveras kontrollerar den först om det finns några virtuella miljöer eller debug-miljöer, för att se om den är fri att använda eller inte. Om så är fallet visas ett varningsmeddelande med texten "Client app initialization error!"
Därefter attackeras de två systemprocesserna svchost.exe och explorer.exe och skadlig kod injiceras i dem. Den försöker sedan stjäla så mycket information som möjligt från systemet och lagrar den i en fil. Den ansluter sedan till en skadlig kommando- och kontrollserver (C&C) från vilken den laddar ner ytterligare virus.
När den väl har tagit över systemet kan Ursnif spionera på användaren på ett extremt effektivt sätt och gå så långt som att stjäla inloggningsuppgifter för alla onlinekonton. Uppgifterna skickas till fjärrservern, och om dessa konton inkluderar konton för åtkomst till onlinekonton, finns det problem framför oss: offret kommer snart att få stora kontosaldon.