skip to Main Content

Cybercrime, Ursnif/Gozi torna in Italia via doppia email dal corriere BRT

Analisi tecnica del malware Hunter JAMESWT

Ursnif/Gozi torna in Italia via doppia email dal corriere BRT. Entrambi i messaggi contengono un allegato xls che, se aperto, contatta un unico url scarica la dll e avvia l’infezione del malware. A patto che l’IP sia italiano e non in blacklist

Ursnif/Gozi si nasconde in due mail, inviate agli utenti in Italia, che sfruttano l’esca del corriere BRT. Una è a tema fattura, mentre l’altra a “rimessa contrassegni a mezzo bonifico bancario”.

Entrambe hanno un allegato xls che, se aperto, contatta un unico url (diverso in ogni file) e scarica la dll, la quale avvia la catena d’infezione del malware.

Questa, peraltro, viene scaricata solo da IP italiani, a patto che non siano nella blacklist. Ursnif/Gozi è un trojan bancario del cybercrime, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

I C2 del malware

Back To Top