skip to Main Content

Cybercrime, Ursnif/Gozi usa vere email compromesse nella campagna in Italia

La campagna Ursnif/Gozi in Italia ora passa attraverso vere email aziendali compromesse. Il messaggio del cybercrime contiene un allegato compresso protetto da password con all’interno un file doc. Questo contatta un unico link e scarica la dll che avvia l’infezione del malware

Ursnif/Gozi cambia strategia per diffondersi in Italia e ora usa veri account email compromessi. Il Malware Hunter JAMESWT ha scoperto alcuni messaggi, proveniente da società nel nostro paese (immediatamente allertate), che contengono un allegato compresso protetto da password. All’interno c’è un file doc che, se aperto, contatta un url (diversa in ogni documento) per scaricare la dll, che avvierà l’infezione del malware. Al momento, peraltro, questa viene scaricata solo se l’IP è italiano. Inoltre, il download dallo stesso IP può essere effettuato solo una volta. Questo poi viene inserito, infatti, in una black list.  Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

Le mail inviate da account aziendali compromessi

Il file doc nell’allegato compresso, protetto da password

C2 della DLL di Ursnif/Gozi

Back To Top