Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi.
Cybercrime, terzo giorno per la campagna Ursnif/Gozi in Italia a tema INPS

Analisi tecnica del Malware Hunter JAMESWT
Terzo giorno consecutivo per la campagna Ursnif/Gozi in Italia a tema INPS. La mail e il processo d’infezione sono identici ai precedenti, cambia solo la password dell’allegato
Terzo giorno consecutivo della campagna Ursnif/Gozi a tema INPS contro bersagli in Italia. La mail è identica a quella dei giorni scorsi, ma cambia la password dell’allegato, diventata “direttore”. La mail contiene l’allegato “istruzioni”, un file xls diverso per ogni messaggio. Questo, se aperto, contatta un unico link che scarica una DLL, la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.