Già noto da tempo agli addetti ai lavori, Ursnif è il nome di un malware che, diffuso in una delle sue ultime varianti, starebbe prendendo di mira le credenziali per l’accesso ai servizi di Home Banking. Una notizia abbastanza preoccupante tenendo conto che la sua firma era già presente nei database di Microsoft dal 2009.
Ma il problema alla base della sua proliferazione starebbe proprio in questo aspetto, infatti il malware (nella sua versione attuale) non sarebbe stato identificato grazie ad una firma antivirus, ma attraverso delle approfondite analisi euristiche. Ecco perché fino a poco tempo fa soltanto alcuni antivirus sarebbero stati in grado di rilevarlo.
A scovare la minaccia sarebbero stati i ricercatori della CSE (CybSec Enterprise) che ne avrebbero individuato anche le modalità di diffusione tramite un finto documento di testo allegato ad un messaggio di posta elettronica. Ai destinatari verrebbe richiesta l’attivazione di una macro per la corretta visualizzazione dei contenuti del file.
Fin qui il livello di rischio, almeno per gli utilizzatori più accorti, non dovrebbe essere particolarmente elevato, se non fosse per il fatto che il messaggio verrebbe confezionato appositamente per rappresentare il seguito di discussioni precedentemente intraprese con un interlocutore. Ciò renderebbe l’email ricevuta molto meno sospetta.
Due gli indizi che dovrebbero rivelare la presenza del malware: il fatto che l’allegato venga presentato come scritto con una versione precedente rispetto a quella in uso dalla potenziale "vittima" e, in secondo luogo, la presenza nel nome dell’allegato di un riferimento all’utente da colpire (ad esempio "nome_azienda_richiesta.doc").