skip to Main Content

Cybercrime, falsa email del MISE veicola Ursnif/Gozi in Italia

Analisi tecnica del malware Hunter JAMESWT

Una falsa email del MISE veicola Ursnif/Gozi in Italia. Ogni messaggio ha un allegato zip diverso, come il file doc all’interno. Questo contatta un unico link (che varia in ogni documento) e scarica la dll, che avvia l’infezione del malware

Ursnif/Gozi si nasconde all’interno di una falsa comunicazione del Ministero dello Sviluppo Economico (MISE) su una circolare legata ad agevolazioni per le imprese. La mail contiene un file compresso, diverso per ogni messaggio come il file word al suo interno.

Quest’ultimo contatta un unico link (che varia per ogni documento) e scarica una DLL, che attiva la catena d’infezione del malware.

C2 Urls e contatti

L’attacco, inoltre, è rivolto espressamente contro il nostro paese. Ciò in quanto i link scaricano la DLL solo se contattati da IP italiani. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

Urls contattati

Malware samples

Ursnif Config e C2

Back To Top