Analisi tecnica del malware Hunter JAMESWT

Falsa spedizione BRT veicola Ursnif/Gozi in Italia. L’allegato xls della mail contatta un unico link e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist

Una falsa spedizione di BRT è ancora l’esca per una campagna Ursnif/Gozi in Italia.

L’allegato xls della mail, una volta aperto, contatta un unico link e scarica la dll, avviando la catena d’infezione del malware.

Ciò, però, solo se la potenziale vittima usa Internet Explorer. Peraltro, l’attacco è diretto espressamente contro l’Italia. La DLL, infatti, viene scaricata solo se solo se si verificano due condizioni:

• L’IP deve essere italiano;
• L’IP non deve essere in blacklist.

Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware