skip to Main Content

Cybercrime, campagna Ursnif/Gozi in Italia su Enel Energia e doppia email

Analisi tecnica del Malware Hunter JAMESWT

Campagna Ursnif/Gozi in Italia su Enel Energia e doppia email. L’allegato eml del primo messaggio, diffuso via PEC, contiene un’altra mail. L’allegato xls o xlsm di questa scarica la dll random da 2 url, avviando l’infezione del malware

Nuova campagna Ursnif/Gozi in Italia via Enel Energia e una mail nella mail.

L’allegato eml del messaggio su un falso rimborso, diffuso via PEC, al suo interno contiene un’altra email con allegato xls o xlsm. Questo, se aperto, scarica random la dll da due url e avvia l’infezione del malware.

A patto, però che la potenziale vittima usi Internet Explorer. Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist;
  • La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware

Back To Top