L’allegato img dell’email contiene un file exe: il malware. I dati rubati sono esfiltrati via email.
Cybercrime, terzo giorno per la campagna Ursnif/Gozi in Italia via INPS

Analisi tecnica del Malware Hunter JAMESWT
Terzo giorno per la campagna Ursnif/Gozi in Italia via INPS. Il file HTA nell’allegato esegue una PS e contatta un primo url, che ne contatta un altro e scarica la dll, avviando l’infezione del malware
Terzo giorno consecutivo per la campagna Ursnif/Gozi in Italia a tema INPS.
L’allegato zip della mail contiene un file HTA. Questo esegue una Powershell e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.