Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi.
Cybercrime, INPS anche oggi esca per veicolare Ursnif/Gozi in Italia
Analisi tecnica del malware Hunter JAMESWT
INPS anche oggi è esca del cybercrime per diffondere Ursnif/Gozi in Italia. Il file xls allegato, diverso per ogni mail, contatta un unico link e scarica una DLL. Questa avvia l’infezione del malware. La campagna punta al nostro paese
INPS torna anche oggi come esca del cybercrime per diffondere Ursnif/Gozi in Italia. La mail della campagna malspam contiene un file excel allegato, diverso per ogni messaggio, che contatta un unico link e scarica una DLL. Questa poi attiva la catena d’infezione del malware. Il messaggio è identico a quello della campagna di ieri, ma cambia la password che da “decreto” diventa “inps”. L’attacco, inoltre, è rivolto espressamente contro il nostro paese. Ciò in quanto i link scaricano la DLL solo se contattati da IP italiani. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro una delle mail arrivate oggi è “fallata”, cioè non contiene l’allegato. Le altre, però, sono complete e perfettamente funzionanti.
Alcune delle mail arrivate oggi
La mail fallata
Il falso allegato xls
I domini da cui si scarica la DLL
DNS HTTP/HTTPS requests / Connection
Articoli correlati
