skip to Main Content

Cybercrime, doppia campagna Ursnif in Italia via MISE

Analisi tecnica del Malware Hunter JAMESWT

Doppia campagna Ursnif in Italia via MISE. Il malware è inoculato tramite i file HTA all’interno dell’allegato zip. La dll in un caso è scaricata via bitsadmin e nell’altro dopo l’esecuzione di un powershell

Doppia campagna Ursnif in Italia via Ministero dello Sviluppo Economico. L’esca sono sempre gli aiuti economici per gas e luce alle imprese, veicolata tramite email con due allegati zip diversi con file hta all’interno.

In un caso tramite bitsadmin: questo contatta un unico url (diverso in ogni file) e scarica la dll per dare il via all’infezione del malware.

Nell’altro, l’HTS esegue un powershell e contatta un url diverso per ogni file. Successivamente, esegue uno script che scarica la dll da un unico url, lanciando la catena d’infezione.

 

Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del Malware

Back To Top