skip to Main Content

Cybercrime, nuova campagna Ursnif/Gozi in Italia via INPS

Analisi tecnica del Malware Hunter JAMESWT

Ursnif/Gozi in Italia con una campagna a tema INPS. Il testo del messaggio è scritto male, ma è comunque pericoloso. L’allegato xls contatta specifici url da cui scarica una DLL, che infetta il computer della vittima

Ursnif/Gozi torna in Italia, sfruttando l’esca dell’INPS. Nelle ultime ore circola una mail, che riporta la firma di un reale dirigente dell’Istituto e si riferisce alla mancata accettazione di una teorica richiesta. A proposito si invita la vittima a consultare la documentazione allegata. Il testo contiene una serie di errori di grammatica e sintassi, segno che probabilmente gli attori del cybercrime dietro alla campagna hanno usato un traduttore automatico. Il pericolo, però, è reale. L’attachment, infatti, è un file xls (diverso per ogni email) che, una volta aperto, richiede la password (presente nel messaggio) e contatta l’unico url contenuto all’interno. Finora, in base da tutti i messaggi ricevuti, questi sono quattro:

http://link.fixuppropertysolutions[.com/importante.dll

http://service.21stcenturyleadersawards[.org/importante.dll

http://stats.21stcentury-leadership[.org/importante.dll

http://log.whateverittakesdoc[.org/importante.dll

Dalla url viene poi scaricata una DLL sul computer dell’utente, che dà poi il via alla catena d’infezione del malware.

L’esca di INPS era stata già usata due settimane fa dal cybercrime per veicolare il malware, con una campagna che punta espressamente l’Italia

Questa ultima campagna Ursnif/Gozi è rivolta espressamente contro il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani, anche se a volte i link sono raggiungibili da IP fuori in altre nazioni. L’attacco a tema INPS, inoltre, non è nuovo. I criminali cibernetici, infatti, avevano sfruttato la medesima esca e tipo di catena d’infezione due settimane fa per distribuire il trojan bancario. In quel caso cambiava il testo, che era riferito a presunte discordanze sui pagamenti dei contributi previdenziali.

Due esempi di email a tema INPS

L’allegato xls che contatta la url da cui si scarica la DLL

DNS HTTP/HTTPS requests / Connection

Back To Top