skip to Main Content

Cybercrime, INPS anche oggi esca per veicolare Ursnif/Gozi in Italia

Analisi tecnica del malware Hunter JAMESWT

INPS anche oggi è esca del cybercrime per diffondere Ursnif/Gozi in Italia. Il file xls allegato, diverso per ogni mail, contatta un unico link e scarica una DLL. Questa avvia l’infezione del malware. La campagna punta al nostro paese

INPS torna anche oggi come esca del cybercrime per diffondere Ursnif/Gozi in Italia. La mail della campagna malspam contiene un file excel allegato, diverso per ogni messaggio, che contatta un unico link e scarica una DLL. Questa poi attiva la catena d’infezione del malware. Il messaggio è identico a quello della campagna di ieri, ma cambia la password che da “decreto” diventa “inps”. L’attacco, inoltre, è rivolto espressamente contro il nostro paese. Ciò in quanto i link scaricano la DLL solo se contattati da IP italiani. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro una delle mail arrivate oggi è “fallata”, cioè non contiene l’allegato. Le altre, però, sono complete e perfettamente funzionanti.

Alcune delle mail arrivate oggi

La mail fallata

Il falso allegato xls

I domini da cui si scarica la DLL

DNS HTTP/HTTPS requests / Connection

Back To Top