Analisi tecnica del malware Hunter JAMESWT

Massiccia campagna Ursnif/Gozi in Italia via Agenzia delle Entrate e presunto adeguamento energetico: decine di mail inviate da domini .casa. L’allegato, diverso per ogni messaggio, contiene un xlsb che, se aperto, contatta una DLL che avvia l’infezione del malware

Maxi campagna Ursnif/Gozi in Italia via Agenzia delle Entrate con decine di mail inviate. Il denominatore comune è che tutti i messaggi arrivano da domini “.casa”. Gli oggetti, invece variano: da “gli organi dell’Agenzia delle Entrate” a “Commissione parlamentare di vigilanza sull’anagrafe tributaria” o “sul registro tributario”. Anche i testi variano leggermente, ma il concetto espresso è il medesimo: presunte misure sull’adeguamento energetico. L’allegato, un documento compresso in formato zip è diverso per ogni mail e contiene un file xlsb. Questo, se aperto, contatta un link malevolo da una lista interna e scarica una DLL, che avvia l’infezione del malware.  Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma anche oggi che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

Un esempio di falsa mail dall’Agenzia delle Entrate su presunte misure di adeguamento energetico

Il file xlsb

La lista interna dei link contattati per scaricare la DLL

IOCS dll domain and C2

Gli oggetti delle mail e i domini di provenienza dei messaggi