skip to Main Content

Cybercrime, INPS ancora esca per veicolare Ursnif/Gozi in Italia

Analisi tecnica del Malware Hunter JAMESWT

INPS ancora esca per veicolare Ursnif/Gozi in Italia. L’allegato zip della mail contiene un file xlsb. Questo, se aperto, contatta un unico url e scarica la dll, che avvia l’infezione del malware

INPS è ancora esca di una campagna malspam del cybercrime per veicolare Ursnif/Gozi in Italia. L’allegato compresso della mail in formato zip, protetto da password (fornita nel testo) contiene un file xlsb.

Questo, se aperto, contatta un unico url e scarica la dll che avvia l’infezione del malware.

La campagna, come le altre due, prende di mira espressamente il nostro paese. La DLL, infatti, viene scaricata solo se gli IP sono italiani, ma non c’è blacklist. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

L’url in chiaro nella cella dei file xlsb

I C2 del malware

Back To Top