I ricercatori di Proofpoint hanno rilevato nel corso di quest’anno un incremento delle minacce mirate che colpiscono le organizzazioni italiane. Questo picco è principalmente guidato da un gruppo denominato TA544, che sfrutta il trojan bancario Ursnif. Quest’anno, Proofpoint ha osservato circa 20 campagne significative che hanno finora distribuito centinaia di migliaia di messaggi rivolti alle aziende italiane, pari all’80% del numero totale di campagne simili in tutto il 2020. Ben 2.000 organizzazioni sono state prese di mira in ogni campagna in lingua italiana.
TA544 è un attore di minacce che distribuisce malware bancario e altri payload in diverse aree geografiche, tra cui Italia e Giappone, identificato da Proofpoint già nel 2017. Solitamente, questo gruppo modifica i propri payload, personalizzandoli in base alla regione da colpire – ad esempio, nel 2021, tutte le campagne TA544 basate su Ursnif hanno preso di mira in particolare organizzazioni italiane, mentre i payload Dridex associati a questo stesso attore non hanno avuto un target geografico specifico.
Ursnif è un trojan che può essere utilizzato per sottrarre dati dai siti, come le password memorizzate, con l’aiuto di web injection, proxy e connessioni VNC, e per scaricare aggiornamenti, moduli o altri malware. Nonostante venga sfruttato da più cybercriminali, l’attività di TA544 rivolta all’Italia lo differenzia dagli altri. Tra gennaio e agosto 2021, il numero di campagne Ursnif che hanno avuto impatto sulle organizzazioni italiane ha superato il numero totale di campagne Ursnif rivolte al paese in tutto il 2020.
I dettagli della campagna
Nelle campagne osservate di recente, TA544 si finge un corriere italiano o un’azienda del settore energy che sollecita pagamenti all’utente preso di mira.