L’allegato img dell’email contiene un file exe: il malware. I dati rubati sono esfiltrati via email.
Cybercrime, nuova ondata della campagna Ursnif/Gozi in Italia via BRT

Analisi tecnica del Malware Hunter JAMESWT
Nuova ondata della campagna Ursnif/Gozi in Italia via BRT. L’allegato xlsm della mail contatta un unico url da cui scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani e se non sono in blacklist
Nuova ondata della campagna Ursnif/Gozi in Italia via BRT.
L’allegato xlsm della mail, se aperto, contatta un unico url da cui scarica la dll, che avvia l’infezione del malware.
Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:
- L’IP deve essere italiano;
- L’IP non deve essere in blacklist;
- La DLL non deve essere stata già scaricata.
Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. La campagna è identica a quelle che hanno colpito il nostro paese il il 7 aprile, a maggio (il 4, l’11 e il 31) e il 22 giugno.
I C2 del malware
IOCS
Dll Url
https://consaltyng[.]com/
192.64.114.[.]87
C2
ghjakappoppepeodkd.]website
195.123.212[.]132
ping hteadclsspdkmdasd[.]live
185.186.245[.]22
dreamfjdjslkdskdn[.]website
31.214.157[.]207
185.186.246[.]95
185.212.47[.]181
HashList MD5
Xls
e6cba5de971230887f303317b18892c2
Xlsm
faf276a7f7aabafa22ff9f8fd92dc9c2
1a55c95079c30365da1c489b881c38ad
Dll
c33644c4f82a0c81ebc17e8c47ff2151