L’xls allegato alla mail o in uno zip contatta un unico url e scarica la dll, avviando l’infezione del malware, ma solo da IP italiani e non in blacklist.
Cybercrime, terzo giorno per la campagna Ursnif/Gozi in Italia via INPS
Analisi tecnica del Malware Hunter JAMESWT
Terzo giorno per la campagna Ursnif/Gozi in Italia via INPS. Il file HTA nell’allegato esegue una PS e contatta un primo url, che ne contatta un altro e scarica la dll, avviando l’infezione del malware
Terzo giorno consecutivo per la campagna Ursnif/Gozi in Italia a tema INPS.
L’allegato zip della mail contiene un file HTA. Questo esegue una Powershell e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist.
Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
I C2 del malware
Articoli correlati
