L’allegato pdf punta un url e scarica un js, che si collega a un altro url e scarica un secondo js, che attiva l’infezione del malware. Solo da IP italiani non in blacklist.
Cybercrime, Ursnif/Gozi torna in Italia con la campagna MEF-MISE

Analisi tecnica del Malware Hunter JAMESWT
Torna in Italia la campagna malspam Ursnif/Gozi a tema MEF-MISE ed emergenza Covid-19. L’allegato xls, diverso in ogni mail, contatta unico link e scarica la DLL che avvia l’infezione del malware
Ursnif/Gozi sfrutta ancora l’esca dei ministeri dell’Economia e delle Finanze (MEF) e dello Sviluppo Economico (MISE), associati all’emergenza Covid-19, per diffondersi in Italia. L’ultima campagna malspam del cybercrime usa una mail su un presunto piano di riapertura graduale delle attività commerciali. L’allegato in formato xls, diverso per ogni messaggio, se aperto contatta un unico link che scarica una DLL (che cambia ogni tot ore), la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro, per la campagna di oggi sono stati aperti nelle scorse circa 200 domini, correttamente configurati allo scopo di evadere i filtri anti spam e anti virus.
Le false mail del MEF e del MISE
L’allegato xls