L’allegato xls della mail contatta un unico link e scarica la dll, che attiva l’infezione del malware. A patto che l’IP sia italiano e non in blacklist.
Cybercrime, nuova campagna Ursnif/Gozi in Italia via falso bonifico BRT
Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna Ursnif/Gozi in Italia via falso bonifico BRT. L’allegato xlsm della mail contatta un unico url e scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani
Nuova campagna Ursnif/Gozi in Italia sfrutta uno falso bonifico BRT.
L’allegato xlsm della mail, se aperto, contatta un unico url da cui scarica la dll, che avvia l’infezione del malware. Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:
- L’IP deve essere italiano;
- L’IP non deve essere in blacklist;
- La DLL non deve essere stata già scaricata.
Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
I C2 del Malware
Articoli correlati
