Analisi tecnica del Malware Hunter JAMESWT

L’ultima campagna Ursnif in Italia sfrutta MEF e MISE. L’esca sono le riaperture delle attività commerciali per l’emergenza Covid-19. L’allegato xlsb contatta un unico link e scarica una DLL che avvia l’infezione del malware. Aperti 200 domini ad hoc

Ursnif/Gozi sfrutta il Ministero dell’Economia e delle Finanze (MEF) e quello dello Sviluppo Economico (MISE) per la sua ultima campagna in Italia. L’esca è la graduale riapertura delle attività economiche e commerciali a seguito dell’emergenza Covid-19. Nelle mail si invita la potenziale vittima a verificare immediatamente le ultime disposizioni allegate. Il documento compresso in formato zip contiene un file xlsb, diverso per ogni messaggio, che se aperto contatta un unico link (al momento sono 5 in totaale) che scarica una DLL (che cambia ogni tot ore), la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro, per la campagna di oggi sono stati aperti nelle scorse circa 200 domini, correttamente configurati allo scopo di evadere i filtri anti spam e anti virus.

Le false email del MEF e del MISE

L’allegato xlsb

La lista dei link

DNS HTTP/HTTPS requests / Connection