skip to Main Content

Cybercrime: campagna Ursnif/Gozi in Italia su email rubate, ma è fallata

Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna Ursnif/Gozi in Italia su email rubate, ma è fallata. L’allegato zip della mail, protetto da password, contiene un doc che scarica la dll e avvia l’infezione del malware. La macro, però, contiene errori che non permettono il completamento dell’operazione

L’Italia è sotto attacco di una nuova campagna Ursnif/Gozi, che sfrutta una reale conversazione rubata, ma che allo stesso tempo è fallata. La mail contiene un allegato compresso in formato zip protetto da password (fornita nel testo), con all’interno un file doc.

Questo, se aperto, contatta un unico url e scarica la dll, che avvia la catena d’infezione del malware. In questo caso, però, il documento Word contiene una macro con errori, che non gli permettono di portare a termine l’infezione della macchina-bersaglio.

Analizzandola, si è comunque riusciti a ricavare la url da cui viene scaricata la dll. Il processo per funzionare, infatti, deve essere svolto manualmente.

Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware

Back To Top