skip to Main Content

Cybercrime, Enel Energia veicola l’ultima campagna Ursnif/Gozi in Italia

Analisi tecnica del Malware Hunter JAMESWT

Enel Energia veicola l’ultima campagna Ursnif/Gozi in Italia. L’allegato xlsm della mail contatta un unico url da cui scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani e da Internet Explorer

Una falsa fattura di Enel Energia è l’esca per l’ultima campagna Ursnif/Gozi in Italia.

L’allegato xlsm della mail contatta un unico url da cui scarica la dll, che avvia l’infezione del malware.

A patto, però che la potenziale vittima usi Internet Explorer. Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist;
  • La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware

IOC

Xlsm
SHA256 hash: ecbba9047f7834d0ab6d3f9b0e6a5b9dd3d338040045ad3c2d8e0a0efcd9402b
SHA3-384 hash: 8422092d16862cb67cf94f38e8bc9efcb6aab3fbee4abfe8e37ebfdb4b2bae1e90cc5256cc6d245c4b2667a19e29473f
SHA1 hash: f82e1ac72e0d161e591ca81a973085d4c11105cc
MD5 hash: 8de38314e26c490b25af8660dccfb1dd
Dll
SHA256 hash: ff532d872909b392c847d0578bc53f17e7df975df4ccf769ed2ca2cec3cfd01b
SHA3-384 hash: 8e230da2e8c45e82ea488abfae1472fa0f02062e26e4229e70162349b503906d8f713f253d9067e067a33dcde16bfbef
SHA1 hash: 97157c98d3b66c69fb3d683ec8905788179e1072
MD5 hash: 33ab353857fd5ba3232e854d68f98c66
Url
hXXps://voicols.com/
C2
noogoorepu[.us
toogoorepu[.us
Back To Top