Si chiama Ursnif il malware più diffuso in Italia nel mese di marzo. Attacca i sistemi Windows e ruba le informazioni relative al software di pagamento Verifone Point-of-Sale (POS). Il suo impatto sulle aziende italiane è stato del 76,11 percento. Il dato è contenuto nel Global Threat Index di marzo 2021 redatto da Check Point Research. Il secondo posto spetta all'ormai noto trojan bancario Dridex, con un impatto del 60,09% sulle aziende italiane. Al terzo posto scala la classifica IcedID, che ha avuto un impatto del 52,12% sulle aziende italiane.

Ursnif è una vecchia conoscenza, dato che è in circolazione almeno dal 2018. Come Dridex è un malware bancario e inizialmente è stato impiegato per causare ingenti danni al settore dell'home banking. Nel tempo si è evoluto nelle funzioni, ma non nel metodo di diffusione, che resta preferenzialmente via email. I messaggi di phishing con allegato un file infetto sono i principali vettori di contagio.

Dridex si basa su WebInjects e la sua funzione principale è quella di esfiltrare dai computer delle vittime le credenziali bancarie per poi inviarle a un server di comando e controllo remoto. Dopo avere contattato un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
IcedID è un altro ritorno dal passato. La sua prima rilevazione risale al 2017 e da allora la sua attività non è mai del tutto fermata. A marzo è tronato in primo piano perché è stato protagonista di diverse campagne di spam, che hanno colpito l’11% delle aziende mondiali. Con poca originalità rispetto al panorama odierno, ha cavalcato le campagne a tema COVID-19 per indurre le vittime ad aprire allegati malevoli delle email. Nella maggior parte dei casi si tratta di documenti Microsoft Word con una macro che, una volta attivata, scarica l’installer di IcedID. Questo, a sua volta, ruba le informazioni dell’account, le credenziali di pagamento e altre informazioni sensibili dai PC degli utenti. Da notare che IcedID è stato anche usato come payload iniziale per alcuni attacchi ransomware.

A livello globale la situazione è molto simile, dato che le prime tre posizioni sono comunque occupate da Dridex e IcedID, rispettivamente in prima e seconda posizione. La differenza maggiore riguarda il terzo componente del gruppo di testa, che è Lokibot, un altro malware progettato per il furto di credenziali e l'esfiltrazione di informazioni, in circolazione dal 2015.In tutti i casi il mezzo di contrasto migliore da adottare, oltre a un buon antimalware, è la formazione. Queste minacce si attivano quando la vittima apre gli allegati delle email di phishing, spesso realizzate con criteri di social engineering appositamente pensati per ingannare gli utenti. Oltre tutto, IcedID è una minaccia che sfrutta efficaci tecniche di evasione: non è facile individuarla, quindi la prevenzione è d'obbligo.