Allerta di Libraesva su una forma di virus della famiglia URSNIF che rispondono per conto degli utenti ai thread conservati nella posta elettronica usandoli come veicoli per infettare i propri contatti sotto forme sempre nuove e apparentemente lecite, di difficile identificazione
Libraesva lancia l’allerta rispetto a una forma nuova di virus URSNIF che nelle ultime settimane sta facendo incetta di account email, inserendosi in thread di comunicazione attivi così come di quelli passati o archiviati.
Si tratta di una campagna di malspam molto efficace per la consegna di virus trojan.
Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che quindi continua a propagarsi senza che né i mittenti né le vittime se ne accorgano.
Allerta sui Trojan Mutanti
URSNIF è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali; il malware stesso continua a cambiare nel tempo. Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware” che renderebbe più difficile per il destinatario rilasciarle.
Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono così convinti che si tratti di una email legittima che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente. A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga.