Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna Ursnif in Italia via Agenzia delle Entrate e Bitsadmin. Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi

La campagna Ursnif a tema Agenzia delle Entrate torna in Italia con un nuovo schema.

Il link nella falsa email “Commissione di vigilanza sul registro tributario” punta a un url da cui viene scaricato un documento rar. Al suo interno c’è un file HTA che, tramite Bitsadmin, effettua il download della dll, avviando l’infezione del malware. Ogni messaggio ha un link differente per scaricare il file rar. Questo contiene un HTA sempre diverso (sono 40 i RAR e gli HTA rilevati finora), mentre il download della DLL viene effettuato da quattro IP.

Ursnif è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del Malware