skip to Main Content

Cybercrime, nuova campagna Ursnif/Gozi in Italia via BRT

Analisi tecnica del Malware Hunter JAMESWT

Ursnif/Gozi sfrutta di nuovo BRT per una campagna in Italia. L’allegato xlsm della mail contatta un solo url da cui scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani e se non sono in blacklist

Ursnif/Gozi si nasconde ancora dietro a una falsa fattura BRT in una nuova campagna in Italia.

L’allegato xlsm della mail, se aperto, contatta un solo url da cui scarica la dll, che avvia l’infezione del malware.

Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist;
  • La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. La campagna è identica a quelle che hanno colpito il nostro paese il il 7 aprile, e a maggio (il 4, l’11 e il 31).

I C2 del malware

Back To Top