Il gruppo Ursnif sfrutta Cerberus per automatizzare i bonifici bancari fraudolenti in Italia

I ricercatori hanno scoperto una nuova variante del trojan bancario Ursnif (alias Gozi) che si rivolge attivamente agli utenti di servizi bancari online in Italia. Gli operatori di questa campagna utilizzano il malware Cerberus per aumentare la penetrazione degli attacchi.

La scoperta

Ursnif viene consegnato alle vittime italiane tramite allegati di posta elettronica dannosi, che in genere si spacciano per corrispondenza commerciale come una fattura o una notifica di consegna.

  • La catena di infezione di solito comprende macro avvelenate incorporate all’interno di file di produttività comunemente utilizzati nelle organizzazioni. In alcuni casi, sono stati osservati aggressori che prendevano di mira specificamente indirizzi IP con sede in Italia.
  • Una volta infettati dal malware, gli utenti vengono indotti a scaricare il malware Cerberus Android sotto forma di app di sicurezza.
  • Cerberus consente agli aggressori di ricevere codici di autenticazione a due fattori inviati dalle banche, che possono essere sfruttati per ulteriori attività fraudolente. 
  • Inoltre, può consentire agli aggressori di ottenere codici di blocco schermo e persino di prendere il controllo del dispositivo infetto da remoto.

Combinazione Ursnif-Cerberus

La combinazione di Ursnif e Cerberus è fondamentalmente utilizzata per prendere il controllo dello smartphone della vittima e superare le barriere di sicurezza per prendere di mira le app finanziarie installate sul telefono.

  • Dopo essere stati infettati da Ursnif, alle vittime viene detto tramite una web injection che devono installare un’app di sicurezza. Viene visualizzato un codice QR, che le vittime devono scansionare per scaricare l’app.
  • Il codice QR porta a una falsa pagina di Google Play che mostra il logo e il marchio della banca a cui la vittima ha tentato di accedere. I domini che ospitano la pagina sono domini con errori di battitura che sembrano legittimi agli occhi normali.
  • Nel caso in cui l’opzione del codice QR non sia fattibile per le vittime, viene chiesto loro di fornire un numero di telefono sul quale riceverebbero un SMS con un link per scaricare l’app falsa.
  • Quando Cerberus è installato, viene utilizzato come componente che aiuta a bypassare l’autenticazione a due fattori tramite SMS ed effettua transazioni fraudolente.

Conclusioni

Sebbene questa combinazione Ursnif-Cerberus sia probabilmente osservata per la prima volta, tuttavia, questa combinazione non è del tutto sorprendente. L’idea è che la combinazione di malware bancario e malware di bypass dell’autenticazione può causare un’enorme ammaccatura nelle tasche degli utenti. Pertanto, si consiglia gli utenti di evitare di fare clic su URL sospetti ricevuti tramite messaggi di testo o e-mail.