In due casi si tratta di attacchi generici, arrivati anche in Italia. Nel terzo sono mirati. I file compressi contengono un exe: il malware stesso. I dati rubati sono esfiltrati via smtp.
Cybercrime, Ursnif/Gozi attacca in Italia con Covid-19 e MISE
Analisi tecnica del Malware Hunter JAMESWT
Il MISE e l’emergenza Covid-19 sono l’ultima esca del cybercrime per distribuire Ursnif/Gozi in Italia. Falsa email del Ministero su chiarimenti legati alle chiusure delle attività economiche. L’allegato contatta un unico link e scarica una DLL che infetta il pc col malware
Ursnif/Gozi torna ad attaccare in Italia con tre esche eccellenti: il Covid-19, le chiusure delle attività economiche e il ministero dello Sviluppo Economico (MISE). In queste ore circolano alcune email su presunti chiarimenti relativi alle ultime disposizioni del governo in relazione all’emergenza coronavirus nel nostro paese. I messaggi contengono un allegato xls, protetto da password. Questo, se aperto, contatta un unico url (diverso per ogni attachment) e scarica una DLL, che avvia l’infezione del computer. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
Alcuni esempi di false email del MISE arrivate in Italia nelle ultime ore
L’allegato xml
DNS HTTP/HTTPS requests / Connection
I link da cui viene scaricata la DLL
Articoli correlati
