L’xls allegato alla mail o in uno zip contatta un unico url e scarica la dll, avviando l’infezione del malware, ma solo da IP italiani e non in blacklist.
Cybercrime, doppia campagna Ursnif/Gozi in Italia via INPS
Analisi tecnica del Malware Hunter JAMESWT
Doppia campagna Ursnif/Gozi in Italia via INPS. Il file HTA nell’allegato per contattare gli url e scaricare la dll, avviando l’infezione del malware, in un caso esegue una PS e nell’altro usa bitsadmin
Doppia campagna Ursnif/Gozi in Italia via INPS. I testi dei messaggi sono molto simili ed entrambi contengono un allegato zip.
Cambia, invece, il vettore d’infezione del malware. In un caso il file HTA all’interno usa direttamente bitsadmin per contattare un url e scaricare la dll.
Nell’altro, invece, l’HTA esegue un powershell per effettuare contattare un url che ne contatta un secondo ed esegue la stessa operazione.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
I C2 del Malware
campagna “bitsadmin”
campagna “powershell”
Articoli correlati
