Libero
SICUREZZA INFORMATICA

Attenti alle email fake Vodafone ed Enel con il virus Ursnif: come riconoscerle

Email diverse ma stesso virus: l'intramontabile malware Ursnif sta attaccando di nuovo i conti correnti online

trojan bancario Fonte foto: stock.adobe.com

Due pericolose campagne email di phishing, attualmente in corso in Italia, tentano di sfruttare il nome di due aziende famosissime per diffondere un virus molto pericoloso. Le aziende in questione sono Vodafone ed Enel Energia mentre il virus è il trojan bancario Ursnif, in grado di svuotarci il conto in banca.

Le finte email di Vodafone sono state scoperte dal ricercatore di sicurezza JamesWT, mentre quelle che sfruttano il nome di Enel le ha scovate la società italiana di cybersecurity D3Lab che collabora anche con il Cert, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale che fa capo alla Presidenza del Consiglio dei Ministri. Entrambe le campagne sono finalizzate a diffondere il virus Ursnif, un trojan che secondo Trend Micro è un parente stretto di Emotet, Gozi, BitPaymer, Dridex e GameOver Zeus. Ecco come riconoscere le email fake per difendersi dall’attacco.

Finta email Vodafone col virus Ursnif: come riconoscerla

La finta email di Vodafone è, tra le due, la più facile da riconoscere perché ha un mittente molto poco credibile: notifications@economicosvilupa.casa. Il problema è che molti utenti il mittente non lo leggono e prendono per vero il corpo dell’email.

Per fortuna, anche il testo del messaggio mostra i classici segnali che dovrebbero allarmare chi li riceve. In particolare ci sono degli errori di grammatica: “Come da lei richiesto abbiamo eseguito il passaggio della sua utenza telefonica dal precedente operatore a Vodafone attivando l’offerta Vodafone Ready. In allegato potete =rovare l’archivio contenente i dettagli e i costi del passaggio, che ve=ranno addebitati direttamente sull’iban da lei fornito mensilmente“.

L’allegato, poi, è un file “IlUfY.zip” altrettanto poco credibile. Ma se il malcapitato utente apre l’allegato si trova davanti un file Excel con dentro un altro messaggio “Questo documento è protetto. Criptato da DucuSign. Per visualizzare il documento, clicca su Abilita Modifica e successivamente su Abilita Contenuto“.

Sotto al messaggio vengono visualizzati i loghi di Microsoft, McAfee, Symantec e RSA Security Analytics. Insomma un intero pacchetto di informazioni totalmente false per indurre l’utente a cliccare su Abilita Modifica e Abilita Contenuto che, in pratica, sono i comandi di Office 365 per attivare l’esecuzione degli script contenuti nel file. Script che, ovviamente, fanno poi partire l’infezione.

Finta email Enel Energia col virus Ursnif: come riconoscerla

La seconda email di phishing che sta girando in queste ore, quella a nome di Enel Energia, è invece più curata e raffinata. Il mittente è infatti noreply.enelenergia@enel-comunica.it, che è altrettanto falso ma molto più credibile del precedente. L’oggetto della email è un grande classico: “Sollecito di pagamento“.

Il corpo della email è in buon italiano, senza alcun errore, e menziona alcune fatture scadute non pagate. In pratica è un sollecito di pagamento delle bollette Enel Energia, per un totale di diverse centinaia di euro.

Non mancano i dati e le modalità per il pagamento, il solito allegato e i link al sito Web di Enel. In questo caso, quindi, è più facile cadere nella trappola perché non ci sono segnali evidenti che la email sia fake.

Ursif: perché è un virus molto pericoloso

Entrambe le email veicolano il malware Ursif. Si tratta di un trojan bancario tra i più diffusi in Italia (sintomo, purtroppo, che è anche tra i più efficaci).

Al momento dell’esecuzione Ursnif come prima cosa verifica la presenza di eventuali ambienti virtuali o di debug, per capire se è libero di operare oppure no. In caso positivo mostra un messaggio di avviso con il testo “Errore di inizializzazione dell’app client!“.

Poi attacca i due processi di sistema svchost.exe ed explorer.exe, iniettando al loro interno il codice malevolo. A questo punto cerca di rubare più informazioni possibile dal sistema e le memorizza in un file. Quindi si connette a un server di comando e controllo (C&C) dannoso dal quale scarica ulteriori virus.

Una volta insediatosi nel sitema Ursnif può spiare in modo estremamente efficace l’utente, arrivando a rubare i dati di login a tutti gli account online. Dati che vengono inviati al server remoto e, se tra questi account ci sono anche quelli per accedere ai conti correnti online, sono dolori: ben presto la vittima si troverà con grossi ammanchi sul conto.