Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca.
Cybercrime, falsa spedizione BRT veicola Ursnif/Gozi in Italia
Analisi tecnica del malware Hunter JAMESWT
Falsa spedizione BRT veicola Ursnif/Gozi in Italia. L’allegato xls della mail contatta un unico link e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist
Una falsa spedizione di BRT è ancora l’esca per una campagna Ursnif/Gozi in Italia.
L’allegato xls della mail, una volta aperto, contatta un unico link e scarica la dll, avviando la catena d’infezione del malware.
Ciò, però, solo se la potenziale vittima usa Internet Explorer. Peraltro, l’attacco è diretto espressamente contro l’Italia. La DLL, infatti, viene scaricata solo se solo se si verificano due condizioni:
- L’IP deve essere italiano;
- L’IP non deve essere in blacklist.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
I C2 del malware
Articoli correlati
