skip to Main Content

Cybercrime, Ursnif/Gozi sfrutta di nuovo BRT per una campagna in Italia

Analisi tecnica del Malware Hunter JAMESWT

Ursnif/Gozi sfrutta di nuovo BRT per una campagna in Italia. L’allegato xlsm della mail contatta un solo url da cui scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani e se non sono in blacklist

Ursnif/Gozi torna a nascondersi dietro a una falsa fattura BRT in una nuova campagna in Italia.

L’allegato xlsm del messaggio, se aperto, contatta un unico url da cui scarica la dll, che avvia l’infezione del malware.

Peraltro, l’attacco del cybercrime è diretto espressamente contro il nostro paese. La DLL, infatti, viene scaricata solo se solo se si verificano tre condizioni:

  • L’IP deve essere italiano;
  • L’IP non deve essere in blacklist;
  • La DLL non deve essere stata già scaricata.

Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. La campagna è identica a quelle che hanno colpito il nostro paese il il 7 aprile, il 4 e l’11 maggio.

I C2 del Malware

Back To Top