Analisi tecnica del Malware Hunter JAMESWT

La campagna Ursnif/Gozi contro l’Italia a tema INPS torna con nuovi link. Le esche rimangono invariate: l’Istituto e la mancata accettazione di una domanda. Anche il metodo di infezione del malware non cambia: parte dall’allegato .xls

Nuovi link per la campagna Ursnif/Gozi a tema INPS, diretta agli utenti in Italia. Le esche, invece, rimangono le stesse esche degli ultimi giorni: l’Istituto e la mancata accettazione di una domanda, i cui dettagli sono contenuti nell’allegato. Anche il metodo per diffondere il malware è invariato. L’attachment è un file xls (diverso per ogni email) che, una volta aperto, richiede la password (presente nel messaggio) e contatta l’unico url contenuto al suo interno, il quale varia per ogni messaggio. Da qui viene poi scaricata una DLL sul computer dell’utente, che dà il via alla catena d’infezione. La campagna, peraltro, continua a essere rivolta espressamente contro il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani, anche se a volte i link sono raggiungibili da IP in altre nazioni. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e installare ulteriori codici malevoli.

Il testo del messaggio a tema INPS

Il falso documento .xls che contatta un link per scaricare la DLL

DNS HTTP/HTTPS requests / Connection

Il contatto tra il malware e il C2

Indicatori di Compromissione (IoC)

URLs

http://line.republicpracticesolutions.]com/notifications.dll

http://link.republichealthresources[.com/notifications.dll

http://service.heritageimagingcenter.]com/notifications.dll

http://stats.splendidwillow.]com/notifications.dll new dll

C2

web.synizstore.[com