L’allegato pdf punta a un url da cui scaricare un file zip con un JS che contatta un altro url e scarica un secondo js, attivando la catena d’infezione del malware.
Cybercrime, doppia campagna Ursnif in Italia via MISE

Analisi tecnica del Malware Hunter JAMESWT
Doppia campagna Ursnif in Italia via MISE. Il malware è inoculato tramite i file HTA all’interno dell’allegato zip. La dll in un caso è scaricata via bitsadmin e nell’altro dopo l’esecuzione di un powershell
Doppia campagna Ursnif in Italia via Ministero dello Sviluppo Economico. L’esca sono sempre gli aiuti economici per gas e luce alle imprese, veicolata tramite email con due allegati zip diversi con file hta all’interno.
In un caso tramite bitsadmin: questo contatta un unico url (diverso in ogni file) e scarica la dll per dare il via all’infezione del malware.
Nell’altro, l’HTS esegue un powershell e contatta un url diverso per ogni file. Successivamente, esegue uno script che scarica la dll da un unico url, lanciando la catena d’infezione.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.