skip to Main Content

Cybercrime, campagna malspam Ursnif/Gozi in Italia via Enel Energia

Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna malspam Ursnif/Gozi in Italia sfrutta Enel Energia e il template di Dridex. Il file xls allegato, se aperto, contatta un unico link da cui scarica la DLL che avvia l’infezione del malware. A patto però che si verifichino 3 condizioni

Ursnif/Gozi si nasconde dietro una campagna malspam in Italia, che sfrutta Enel Energia come esca e il template di Dridex. La mail contiene un allegato xlsm, identico a quello usato per veicolare il trojan bancario. Questo, se aperto, contatta un unico dominio e scarica una DLL mascherata da altri tipi di file, che avvia la catena d’infezione del malware. Ciò, però, a patto che si verifichino tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist
  • La DLL non deve essere stata già scaricata.

La DLL, peraltro, contatta lo stesso server C2 IP 162.0.237.[177 santaliny[.org del sample rilevato il 23 ottobre (62.0.237.[177 willeam[.net). Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro una delle mail arrivate oggi è “fallata”, cioè non contiene l’allegato. Le altre, però, sono complete e perfettamente funzionanti.

La falsa mail di Enel Energia

L’immagine della fattura fake, che sfrutta il template di Dridex

La comunicazione tra il malware e il server C2

Il dominio contattato dal file xlsm per scaricare la DLL

Back To Top