Analisi tecnica del Malware Hunter JAMESWT

Il MISE e l’emergenza Covid-19 sono l’ultima esca del cybercrime per distribuire Ursnif/Gozi in Italia. Falsa email del Ministero su chiarimenti legati alle chiusure delle attività economiche. L’allegato contatta un unico link e scarica una DLL che infetta il pc col malware

Ursnif/Gozi torna ad attaccare in Italia con tre esche eccellenti: il Covid-19, le chiusure delle attività economiche e il ministero dello Sviluppo Economico (MISE). In queste ore circolano alcune email su presunti chiarimenti relativi alle ultime disposizioni del governo in relazione all’emergenza coronavirus nel nostro paese. I messaggi contengono un allegato xls, protetto da password. Questo, se aperto, contatta un unico url (diverso per ogni attachment) e scarica una DLL, che avvia l’infezione del computer.   Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

Alcuni esempi di false email del MISE arrivate in Italia nelle ultime ore

L’allegato xml

DNS HTTP/HTTPS requests / Connection

I link da cui viene scaricata la DLL