L’xls allegato alla mail o in uno zip contatta un unico url e scarica la dll, avviando l’infezione del malware, ma solo da IP italiani e non in blacklist.
Cybercrime, doppia campagna Ursnif in Italia via MISE
Analisi tecnica del Malware Hunter JAMESWT
Doppia campagna Ursnif in Italia via MISE. Il malware è inoculato tramite i file HTA all’interno dell’allegato zip. La dll in un caso è scaricata via bitsadmin e nell’altro dopo l’esecuzione di un powershell
Doppia campagna Ursnif in Italia via Ministero dello Sviluppo Economico. L’esca sono sempre gli aiuti economici per gas e luce alle imprese, veicolata tramite email con due allegati zip diversi con file hta all’interno.
In un caso tramite bitsadmin: questo contatta un unico url (diverso in ogni file) e scarica la dll per dare il via all’infezione del malware.
Nell’altro, l’HTS esegue un powershell e contatta un url diverso per ogni file. Successivamente, esegue uno script che scarica la dll da un unico url, lanciando la catena d’infezione.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.