Analisi tecnica del Malware Hunter JAMESWT

False fatture di Bartolini ed Enel Energia, allegate e in chiaro nel testo della mail, sono l’ultima esca per diffondere Ursnif/Gozi in Italia. Il file xlsm, se aperto, contatta un unico link e scarica la Dll che avvia l’infezione del malware

False fatture di Bartolini ed Enel Energia sono l’ultima esca del cybercrime per diffondere Ursnif/Gozi in Italia. Le mail contengono un file xlsm che, se aperto, contatta un unico link malevolo diverso per ogni allegato e scarica una DLL, che avvia l’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. In questa campagna malspam è interessante anche il fatto che i criminali cibernetici abbiano aggiunto un nuovo elemento per rafforzare la trappola: una copia della presunta fattura, direttamente “in chiaro” nel testo della mail. Solitamente, invece, viene allegata solo un’immagine in miniatura di essa, non leggibile. 

Le false email di Bartolini ed Enel Energia con le presunte fatture in chiaro nel testo del messaggio

Le due false fatture allegate

IOCS dll domain and C2