skip to Main Content

Cybercrime, Ursnif/Gozi torna in Italia via conversazioni mail rubate

Analisi tecnica del malware Hunter JAMESWT

Ursnif/Gozi torna in Italia via conversazioni mail rubate. L’allegato zip del messaggio, protetto da password, contiene un file doc che scarica una dll e avvia l’infezione del malware. Solo da IP italiani

Urnsif/Gozi torna in Italia attraverso una reale conversazione mail rubata. L’allegato compresso in formato zip, protetto da password (fornita nel testo), contiene un file doc.

Script HTA decodicato con url cui viene scaricata la dll

Questo, se aperto, scarica una dll e avvia l’infezione del malware.

Come le campagne precedenti, l’obiettivo è esclusivamente il nostro paese. La dll, infatti, si scarica solo se gli IP sono italiani. Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri payload malevoli.

I C2 del malware

Back To Top