Analisi tecnica del Malware Hunter JAMESWT

Una falsa fattura Vodafone è l’esca dell’ultima campagna del cybercrime per veicolare Ursnif/Gozi in Italia. L’allegato contiene un documento compresso con all’interno un file xlsm. Questo, se aperto, contatta unico link e scarica DLL che avvia l’infezione del malware

Ursnif/Gozi usa un falso trasferimento di utenza telefonica a Vodafone per la sua ultima campagna in Italia. Le mail, provenienti tutte da domini .casa, hanno una falsa fattura allegata, un documento compresso in formato zip. Questo contiene un file xlsm, diverso per ogni messaggio, che se aperto contatta un unico link (al momento sono 5 in totale) che scarica una DLL (che cambia ogni tot ore), la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

La falsa email di Vodafone

L’Xlsm con il docusign fake

La lista dei link da cui xlsm scarica la dll

DNS HTTP/HTTPS requests / Connection