Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi.
Cybercrime, Falsa bolletta Eni Gas e Luce veicola Ursnif/Gozi in Italia

Analisi tecnica del Malware Hunter JAMESWT
Falsa bolletta Eni Gas e Luce veicola Ursnif/Gozi in Italia. Ogni mail ha allegato zip e file doc all’interno diversi. Quest’ultimo contatta unico link e scarica la dll, che avvia l’infezione del malware
Falsa bolletta di Eni Gas e Luce veicola Ursnif/Gozi in Italia. La mail contiene un file compresso in formato zip, diverso per ogni messaggio, come il documento word al suo interno.
Quest’ultimo contatta un unico link e scarica una DLL, che attiva la catena d’infezione del malware. C’è anche un altro url, ma al momento risulta inattivo.
L’attacco del cybercrime è rivolto specificatamente contro il nostro paese. I link, infatti, scaricano la DLL solo se contattati da IP italiani. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.