Sicurezza e Privacy
Ecco Ursnif, il malware bancario che ruba le chiavi per accedere ai conti correnti online
di Biagio Simonetta
Img Description

Si chiama Ursnif e ha fatto già ingenti danni nel settore dell'home banking. È il nuovo malware scoperto in queste ore dai ricercatori di CybSec Enterprise, azienda italiana che si occupa di cyber sicurezza. Secondo le prime informazioni, Ursnif è un software malevolo capace di entrare in possesso delle credenziali per accedere, attraverso l'home banking, ai conti correnti degli utenti che inconsapevolmente lo installano sul loro personal computer.

La diffusione, in base a quanto riferiscono da CybSec Enterprise, è abbastanza simile a quella dei malware già conosciuti. Ursnif, infatti, sfrutterebbe un file di Word contenuto in una mail. Una mail che, a quanto pare, simula anche una discussione pregressa fra mittente e destinatario, così da sembrare ancora più reale. Il malware si installa sulla macchina quando l'utente scarica il file word contenuto e autorizza una serie di abilitazioni nel tentativo di aprirlo. Un codice complesso che, secondo i ricercatori, riuscirebbe a rimanere attivo anche dopo il riavvio di un Pc. Uno stratagemma che gli consente di poter far danni ogni qual volta il computer viene acceso.

Secondo CybSec Enterprise, che per prima ha scoperto il malware, le caratteristiche principali del messaggio contenente Ursnif sono tre. La prima riguarda il testo della mail, che è formulato in un italiano scorretto (particolare ormai abbastanza ricorrente nella diffusione di malware per mezzo phishing). Contiene qualcosa tipo: «Buongiorno, Vedi allegato e di confermare. Cordiali saluti». La seconda caratteristica base è relativa all'allegato. Si tratta di un documento di Microsoft Word che finge di essere stato creato con una versione precedente di Microsoft Office, e per questa ragione invita l'ignaro utente ad abilitare le macro per essere letto. Infine il nome di questo file allegato, che è personalizzato, e contiene un riferimento della vittima in aggiunta alla parole “richiesta”. Il nome del file .doc malevolo è qualcosa come: “[NOME-AZIENDA-VITTIMA]_Richiesta.doc”.

Una volta che l'utente scarica l'allegato e abilita le funzioni che sembra richiedere Word, uno script malevolo si attiva, si collega alla rete e scarica il malware sul personal computer.

«In uno scenario in cui i virus evolvono conservando le caratteristiche delle versioni precedenti aggiornate per aggirare ed eludere l'individuazione da parte dei software di protezione – spiegano i ricercatori di CybSec Enterprise – in caso di individuazione degli elementi dannosi è importante rivolgersi subito a degli esperti per disinnescare la minaccia».

Una precedente versione di Ursnif era già stata identificata negli anni passati, ed era finita nei vari database degli antivirus. Quella scoperta in queste ore, invece, era pressoché invisibile fino alla scoperta dei ricercatori italiani. E al momento non è stato possibile stabilire quanti computer possa aver infettato. Di certo Ursnif è definito un trojan bancario, cioè realizzato appositamente per introdursi nei sistemi di home banking. Per fortuna molti di questi ormai da tempo utilizzano sistemi di double check, con l'utilizzo di codici token da produrre attraverso gli smartphone. Fare molta attenzione, tuttavia, è sempre una buona scelta.

Hai raggiunto il limite di 10 articoli gratuiti disponibili questo mese.
Abbonati a Il Sole 24 Ore Mobile per avere accedere illimitatamente a tutti i contenuti del sito mobile
Inserisci il tuo numero di cellulare per attivare l'offerta o, se sei già abbonato, per continuare a leggere.
Altre informazioni