skip to Main Content

Cybercrime, bloccata una campagna Ursnif/Gozi in Italia via BRT

Analisi tecnica del Malware Hunter JAMESWT

Bloccata una campagna Ursnif/Gozi in Italia, che sfruttava una falsa spedizione BRT. L’allegato xls della mail contattava un unico link e scaricava la dll, che attiva l’infezione del malware. A patto che l’IP fosse italiano e non in blacklist

Una campagna Ursnif/Gozi in Italia attraverso una falsa spedizione BRT è stata appena bloccata, grazie alla segnalazione a NameCheap del dominio da cui veniva scaricata la dll, che avviava l’infezione del malware.

L’allegato xls della mail, infatti, se aperto contattava un unico link da cui veniva effettuato il download della dll malevola.

Ciò, però, a patto, però che la potenziale vittima usasse Internet Explorer. Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, veniva scaricata solo se solo se si verificano due condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist.

Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del Malware

Back To Top