L’allegato pdf punta a un url da cui scaricare un file zip con un JS che contatta un altro url e scarica un secondo js, attivando la catena d’infezione del malware.
Cybercrime, il cambio di gestore telefonico esca per Ursnif/Gozi in Italia
Analisi tecnica del Malware Hunter JAMESWT
Il cambio di gestore telefonico esca per Ursnif/Gozi in Italia. L’allegato doc di una falsa mail di Vodafone, diverso per ogni messaggio, contatta un unico link e scarica la dll che avvia l’infezione del malware
Ursnif/Gozi ora arriva in Italia con l’esca di un falso cambio di operatore telefonico per passare a Vodafone. La mail contiene un allegato doc.
Questo, diverso per ogni messaggio, se aperto, contatta un unico url e scarica la dll, che avvia la catena d’infezione del malware.
Anche in questo caso la campagna è mirata solo contro il nostro paese. Infatti, la DLL viene scaricata solo dagli IP italiani. Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
Articoli correlati
