Ecco Ursnif, il malware bancario che ruba le chiavi per accedere ai conti correnti online

Si chiama Ursnif e ha fatto già ingenti danni nel settore dell'home banking. È il nuovo malware scoperto in queste ore dai ricercatori di CybSec Enterprise, azienda italiana che si occupa di cyber sicurezza. Secondo le prime informazioni, Ursnif è un software malevolo capace di entrare in possesso delle credenziali per accedere, attraverso l'home banking, ai conti correnti degli utenti che inconsapevolmente lo installano sul loro personal computer.

La diffusione, in base a quanto riferiscono da CybSec Enterprise, è abbastanza simile a quella dei malware già conosciuti. Ursnif, infatti, sfrutterebbe un file di Word contenuto in una mail. Una mail che, a quanto pare, simula anche una discussione pregressa fra mittente e destinatario, così da sembrare ancora più reale. Il malware si installa sulla macchina quando l'utente scarica il file word contenuto e autorizza una serie di abilitazioni nel tentativo di aprirlo. Un codice complesso che, secondo i ricercatori, riuscirebbe a rimanere attivo anche dopo il riavvio di un Pc. Uno stratagemma che gli consente di poter far danni ogni qual volta il computer viene acceso.

Secondo CybSec Enterprise, che per prima ha scoperto il malware, le caratteristiche principali del messaggio contenente Ursnif sono tre. La prima riguarda il testo della mail, che è formulato in un italiano scorretto (particolare ormai abbastanza ricorrente nella diffusione di malware per mezzo phishing). Contiene qualcosa tipo: «Buongiorno, Vedi allegato e di confermare. Cordiali saluti». La seconda caratteristica base è relativa all'allegato. Si tratta di un documento di Microsoft Word che finge di essere stato creato con una versione precedente di Microsoft Office, e per questa ragione invita l'ignaro utente ad abilitare le macro per essere letto. Infine il nome di questo file allegato, che è personalizzato, e contiene un riferimento della vittima in aggiunta alla parole “richiesta”. Il nome del file .doc malevolo è qualcosa come: “[NOME-AZIENDA-VITTIMA]_Richiesta.doc”.

Una volta che l'utente scarica l'allegato e abilita le funzioni che sembra richiedere Word, uno script malevolo si attiva, si collega alla rete e scarica il malware sul personal computer.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Scopri di più

LAB24

Il prezzo della benzina oggi in tutta Italia

Scopri di più

«In uno scenario in cui i virus evolvono conservando le caratteristiche delle versioni precedenti aggiornate per aggirare ed eludere l'individuazione da parte dei software di protezione – spiegano i ricercatori di CybSec Enterprise – in caso di individuazione degli elementi dannosi è importante rivolgersi subito a degli esperti per disinnescare la minaccia».