skip to Main Content

Cybercrime, doppia campagna Ursnif/Gozi in Italia via Enel Energia e DHL

Analisi tecnica del Malware Hunter JAMESWT

Doppia campagna Ursnif/Gozi in Italia via Enel Energia e DHL. Gli allegati xlsm delle mail, con testi diversi, contattano lo stesso url e scaricano la medesima dll per avviare l’infezione del malware

Doppia campagna Ursnif/Gozi in Italia via Enel Energia e DHL. Gli allegati delle due mail, che hanno testi diversi, contengono ognuno un file xlsm.

Questo contatta un unico url (lo stesso per ogni messaggio) e scaricano la medesima dll, che avvia l’infezione del malware.

Il doppio attacco del cybercrime prende di mira espressamente il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist;
  • La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware

Back To Top