Analisi tecnica del Malware Hunter JAMESWT

Nuova ondata della campagna Ursnif/Gozi in Italia via BRT. L’allegato xlsm della mail contatta un unico url da cui scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani e se non sono in blacklist

Nuova ondata della campagna Ursnif/Gozi in Italia via BRT.

L’allegato xlsm della mail, se aperto, contatta un unico url da cui scarica la dll, che avvia l’infezione del malware.

Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

• L’IP deve essere italiano;
• L’IP non deve essere in blacklist;
• La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. La campagna è identica a quelle che hanno colpito il nostro paese il il 7 aprile, a maggio (il 4, l’11 e il 31) e il 22 giugno.

I C2 del malware

IOCS

Dll Url

https://consaltyng[.]com/

192.64.114.[.]87

C2

ghjakappoppepeodkd.]website

195.123.212[.]132

ping hteadclsspdkmdasd[.]live

185.186.245[.]22

dreamfjdjslkdskdn[.]website

31.214.157[.]207

185.186.246[.]95

185.212.47[.]181

HashList MD5

Xls

e6cba5de971230887f303317b18892c2

Xlsm

faf276a7f7aabafa22ff9f8fd92dc9c2

1a55c95079c30365da1c489b881c38ad

Dll

c33644c4f82a0c81ebc17e8c47ff2151