skip to Main Content

Cybercrime, campagna Ursnif/Gozi del lunedi contro l’Italia

L’esperto di cyber security JAMESWT ha scoperto una nuova campagna del cybercrime per veicolare Ursnif/Gozi in Italia. A differenza di lunedì scorso usa Agenzia delle Entrate e IVA invece dell’INPS. Le caratteristiche, però, sono simili all’altra

Tornano gli attacchi del cybercrime del lunedì per veicolare Ursnif/Gozi in Italia via Excel. Il ricercatore di cyber security JAMESWT ha scoperto una nuova campagna, che sfrutta come esca l’Agenzia delle Entrate. La settimana scorsa, invece, era stata usata l’INPS. Il messaggio questa volta non fa riferimento a contributi non saldati, ma all’IVA trimestrale. Segno che i bersagli probabilmente sono i liberi professionisti o le aziende del nostro paese. L’obiettivo è far sì che la vittima apra l’allegato (protetto da una password fornita nella mail). Una volta inserita, infatti, viene contatto un sito malevolo da cui si scarica una DLL, che infetta il computer con il malware. Anche in questo caso la campagna è mirata solo contro il nostro paese. Infatti, la DLL viene scaricata solo dagli IP italiani. Il testo, inoltre, è scritto in maniera abbastanza, corretta anche se ci sono diversi errori dovuti all’uso di un traduttore automatico.

Due esempi di email-trappola

Tutti gli URLs da cui si scarica la DLL

Gli ULRs in chiaro diversi per ogni Excel

I C2 contattati dal malware Ursnif/Gozi

 

 

Back To Top