Analisi tecnica del Malware Hunter JAMESWT

Terzo giorno per la campagna Ursnif/Gozi in Italia via INPS. Il file HTA nell’allegato esegue una PS e contatta un primo url, che ne contatta un altro e scarica la dll, avviando l’infezione del malware

Terzo giorno consecutivo per la campagna Ursnif/Gozi in Italia a tema INPS.

L’allegato zip della mail contiene un file HTA. Questo esegue una Powershell e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist.

 Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware