skip to Main Content

Cybercrime, doppia campagna Ursnif/Gozi in Italia via INPS

Analisi tecnica del Malware Hunter JAMESWT

Doppia campagna Ursnif/Gozi in Italia via INPS. Il file HTA nell’allegato per contattare gli url e scaricare la dll, avviando l’infezione del malware, in un caso esegue una PS e nell’altro usa bitsadmin

Doppia campagna Ursnif/Gozi in Italia via INPS. I testi dei messaggi sono molto simili ed entrambi contengono un allegato zip.

 

Cambia, invece, il vettore d’infezione del malware. In un caso il file HTA all’interno usa direttamente bitsadmin per contattare un url e scaricare la dll.

Nell’altro, invece, l’HTA esegue un powershell per effettuare contattare un url che ne contatta un secondo ed esegue la stessa operazione.

Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del Malware

campagna “bitsadmin

campagna “powershell

Back To Top