skip to Main Content

Cybercrime, terza campagna Ursnif/Gozi in Italia in un giorno via Agenzia delle Entrate

Analisi tecnica del Malware Hunter JAMESWT

L’Agenzia delle Entrate è esca per la terza campagna Ursnif/Gozi in Italia in un solo giorno. L’allegato xlsb della mail contatta un url (diverso in ogni messaggio) e scarica la dll che avvia l’infezione del malware

Terza campagna Ursnif/Gozi in Italia in un solo giorno: l’esca questa volta è l’Agenzia delle Entrate. Nelle precedenti, invece, erano una reale conversazione mail rubata e una falsa fattura BRT. L’allegato compresso della mail in formato zip, protetto da password (fornita nel messaggio), contiene un file xlsb.

Questo, se aperto, contatta un url (diverso per ogni messaggio) e scarica la dll che avvia l’infezione del malware. La campagna, come le altre due, prende di mira espressamente il nostro paese. La DLL, infatti, viene scaricata solo se gli IP sono italiani. Peraltro, gli url sono attivi dalle 06:30/7:00 di questa mattina, anche se le mail sono state inviate prima. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

L’url in chiaro nella cella dei file xlsb

I primi file xlsb malevoli, con le date e l’orario reali in cui sono stati creati

L’elenco da cui gli xlsb scaricano la dll

I C2 del malware

Back To Top