Analisi tecnica del Malware Hunter JAMESWT

Terzo giorno consecutivo per la campagna Ursnif/Gozi in Italia a tema INPS. La mail e il processo d’infezione sono identici ai precedenti, cambia solo la password dell’allegato

Terzo giorno consecutivo della campagna Ursnif/Gozi a tema INPS contro bersagli in Italia. La mail è identica a quella dei giorni scorsi, ma cambia la password dell’allegato, diventata “direttore”. La mail contiene l’allegato “istruzioni”, un file xls diverso per ogni messaggio. Questo, se aperto, contatta un unico link che scarica una DLL, la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

La falsa mail di INPS

L’allegato xls che contatta un unico link e scarica la DLL

La lista dei link

DNS HTTP/HTTPS requests / Connection