skip to Main Content

Cybercrime, nuova campagna Ursnif/Gozi contro l’Italia attraverso i corrieri

L’esperto di cyber security JAMESWT: Nuova campagna Ursnif/Gozi sfrutta i corrieri e un falso rimborso per far aprire l’allegato. Questo scarica una DLL che infetta il computer con il malware. Ma solo in Italia e se la macchina non è stata precedentemente colpita

Il cybercrime torna a colpire in Italia con Ursnif/Gozi, inviato con phishing attraverso l’esca dei corrieri. L’esperto di cyber security JAMESWT scopre una nuova campagna, che sfrutta un falso bonifico di Bartolini (con una cifra variabile a seconda delle mail) per il rimborso di un presunto contrassegno. Al testo è allegato un file Excel, da cui parte la catena d’infezione del malware. L’obiettivo è far sì che la potenziale vittima lo apra, in modo che questo contatti un sito malevolo da cui si scaricherà una DLL, che infetta il computer con il codice malevolo. Anche in questo caso la campagna è mirata solo contro il nostro paese. Infatti, la DLL viene scaricata solo dagli IP italiani. Inoltre, viene verificato se l’IP ha già scaricato in precedenza il malware. In quel caso, viene inserito in una sorta di black list, in cui sono bloccati i download. La mail è scritta in maniera corretta, senza errori e riporta la data del 22/09/2020. Segno che gli attacchi sono stati confezionati proprio per oggi.

La mail con il falso rimborso del contrassegno da parte del corriere

La fattura aperta in Excel

Il dominio contattato da cui viene scaricata la DLL

 

 

 

Back To Top