skip to Main Content

Cybercrime, Agenzia delle Entrate ancora esca per diffondere Ursnif/Gozi in Italia

Il cyber security hunter JAMESWT: Nuova campagna del cybercrime per diffondere Ursnif/Gozi in Italia con l’esca dell’Agenzia delle Entrate. L’attacco sfrutta una falsa comunicazione su discrepanze versamenti IVA. L’allegato avvia la catena d’infezione del malware, che punta solo il nostro paese. (Updated at 15:56)

L’Agenzia delle Entrate torna esca del cybercrime per veicolare Ursnif/Gozi in Italia. Il ricercatore di cyber security JAMESWT ha rilevato una nuova campagna, che sfrutta una falsa comunicazione relativa all’IVA del 2019. A rendere più incisivo l’attacco c’è anche un riferimento al “Cassetto Fiscale” del contribuente. L’obiettivo è far sì che la potenziale vittima apra l’allegato, che teoricamente dovrebbe contenere i dettagli sulle discrepanze nei versamenti. Questo è un file xls, che una volta aperto richiede la password (presente nel messaggio) e che attiva il collegamento con link malevoli, da cui viene scaricata una DLL sul computer della vittima. Questa poi dà il via alla catena d’infezione del malware. Peraltro, l’attacco è rivolto espressamente contro il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani tranne dal link http://line.zeebracross.]com/attenzione.dll, che effettua il download anche da IP non italiani.

Alcuni esempi di email malevole, in cui si evincono piccole differenze nel testo

 

L’elenco dei messaggi malevoli arrivati e bloccati dall’anti-spam

Il falso documento xls che scarica la DLL

Le DNS request di un sample analizzato

Gli Indicatori di Compromissione (IoC) al momento della pubblicazione dell’articolo

MD5 Xls
d8d61b0c8297b0abe147265bab7c9cdb
f1504970feab36895825ab7012948d70
a61c2a2eb989765cbbc4356b5c641641
b9eceb5c12f673037350a06fa482fb12
c033723cf6b5a7652003f2df3d9933bf
c8f8858700122223a7a29df104c30758
1fb660211d66a06889cfb4c46a0282d2
244d9105e7b5c918dd0c0b4a860766e8
05dae5c12bc601fe29602232cd619703
45f3d31081418bf95161d7586083b6e0
7f0360df24bd16be42d2a5941a8da49e
2e0697e1dfe32529a3a93db82f08e3a5
93d9372e6185362e866d2a1a8497f8ea
7ad2965d4cf94cc70df1a4c9961263e0
244d9105e7b5c918dd0c0b4a860766e8
318c13a165cc89ae63a5d14028078f0b

MD5 Dll
19a6785fe245b33b5b87091cc1d3a3fb

d832f5a807170a8ef0f436810a58e2cb

Dll Payloads Source Urls geofenced ITA
http://service.drnjithendran.com/attenzione.]dll
http://stats.charleswbrownonline.com/attenzione.]dll
http://log.angelicabrown.com/attenzione.]dll
Dll Payloads Source Urls not geofenced ITA at the time of the article
http://line.zeebracross.com/attenzione.]dll

http://link.panibaba[.com/attenzione.dll

There may be others in the new xls samples

Fake C2
po3p53334.yahoo.com
C2
gstat.sloleaks.]com
gstat.securezal.]xyz
gstat.secundato.]com
gstat.secundato.]net
gstat.secundamo.]com
gstat..premiamo.]com
gstat.premiamo.]eu
C2
web.citylimitshog.]com
sertificatkey.com/upload/iputil.]rar
185.225.68.85/ipinfo.]php

 

Back To Top