In due casi si tratta di attacchi generici, arrivati anche in Italia. Nel terzo sono mirati. I file compressi contengono un exe: il malware stesso. I dati rubati sono esfiltrati via smtp.
Cybercrime, Ursnif/Gozi torna in Italia con la campagna MEF-MISE
Analisi tecnica del Malware Hunter JAMESWT
Torna in Italia la campagna malspam Ursnif/Gozi a tema MEF-MISE ed emergenza Covid-19. L’allegato xls, diverso in ogni mail, contatta unico link e scarica la DLL che avvia l’infezione del malware
Ursnif/Gozi sfrutta ancora l’esca dei ministeri dell’Economia e delle Finanze (MEF) e dello Sviluppo Economico (MISE), associati all’emergenza Covid-19, per diffondersi in Italia. L’ultima campagna malspam del cybercrime usa una mail su un presunto piano di riapertura graduale delle attività commerciali. L’allegato in formato xls, diverso per ogni messaggio, se aperto contatta un unico link che scarica una DLL (che cambia ogni tot ore), la quale avvia la catena d’infezione del malware. Il processo viene effettuato, però, a patto che si verifichi un’unica condizione: e cioè che l’IP da cui viene effettuato il download della DLL sia del nostro paese. Ciò conferma, come nei casi precedenti delle campagne a tema Istituzioni, che il cybercrime punta espressamente l’Italia. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware. Peraltro, per la campagna di oggi sono stati aperti nelle scorse circa 200 domini, correttamente configurati allo scopo di evadere i filtri anti spam e anti virus.
Le false mail del MEF e del MISE
L’allegato xls