skip to Main Content

Cybercrime, Ursnif/Gozi veicolati in Italia via OMS e Covid-19

Coronavirus-ursnif-gozi-oms-who-italia-jameswt-dll-lemonduck-cryptominer-sophos-immuni-certagid-italia-cybercrime-cybersecurity-app-mobile-malware-covid19-italia-videochiamate-cybersecurity-cybercrime-sicurezza-privacy-malware-ransomware-rat-cyberespionage-spionaggio.jpeg

Analisi tecnica curata e realizzata dall’Independent Malware Hunter JAMESWT (updated at 15:53)

Il cybercrime torna a usare OMS e Covid-19 per veicolare Ursnif/Gozi in Italia. Falsa mail dell’organismo sulle precazioni da adottare contro l’emergenza coronavirus, sfrutta l’allegato per avviare la catena d’infezione del malware

Ursnif/Gozi ora sono veicolati dal cybercrime in Italia con le esche del COVID-19 e dell’Organizzazione Mondiale della Sanità (OMS). Ciò tramite una serie di email in cui si avvisano le aziende che l’OMS, a seguito dei casi confermati di coronavirus nella loro zona, ha messo a disposizione un documento con tutte le prevenzioni necessarie da adottare. Di conseguenza, le potenziali vittime sono invitate a leggere il documento allegato. Si tratta di un file xls che, una volta aperto, richiede la password (presente nel messaggio) e che contatta specifici url (i quali cambiano per ogni allegato), da cui viene scaricata una DLL sul computer dell’utente. Questa poi dà il via alla catena d’infezione del malware. Peraltro, l’attacco è rivolto espressamente contro il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani, anche se a volte i link sono raggiungibili da IP fuori dall’Italia.

Alcuni esempi di email-trappola con i riferimenti a OMS e Covid-19

Email malevole rilevate dall’Anti-Spam

DNS HTTP/HTTPS requests / Connection

Alcuni URLs da cui viene scaricata la DLL di Ursnif/Gozi

http://line[.queensfurnitureoutlet.[com/servizi.dll

http://link[.giantfurnitureoutlet.com/servizi.dll

http://stats[.idealfurnituregalleryny[.com/servizi.dll

http://log[.idealfurnituredirect[.com/servizi.dll

Gli Indicatori di Compromissione (IoC)

Source DLL Urls

http://line.[queensfurnitureoutlet[.com/servizi.dll

http://link.[http://giantfurnitureoutlet.com/servizi.dll

http://stats.[idealfurnituregalleryny.[com/servizi.dll

http://service[.idealfurnitureoutlet.[com/servizi.dll

http://log.[idealfurnituredirect.[com/servizi.dll

XLS MD5

6c2f516b8fc93f0f16ac13a23d87d16d

66091d877b0291ebb92f2eeb3f2e577c

1527c1adc27d168a0acb629776a7550c

8404e06bf2d9b255a53ac9d5df63fd09

e76551dc25a5dc483f062c2b5ec11551

4d6f215da87caedbe8693740ad7517d9

4034f70de7542908fc322eea02776c97

a247cb4db3f5d5f55e1914b5597f5ede

84730b31060b3063b090976889871edb

29633abd7785ed8fdb7d1f550d753f4c

ccaeab5790b5049715a7b62548e2464b

fbba238f65bfb58025a61259c0adce62

fdca394788803f66086261a9599855f0

e9a50e67895cb2690a453aa8546dd8e6

f89e804ec27b700accd3469b04c76c75

df93e80d7f2afc7106f4a1416ce2eeab

01f81cc85951ca551cea1bfb8f6a37d8

ab7bbcde4072931f6ae52b6056d8eae5

07676a9c1a694e9f5cc496f2018980b5

f63dbaa682cfc44f1d19f2c77ba57899

DLL MD5

2af56c3db87fdf4bb7c3de1ac53d97b6

a133bf254779831981467cd73545012b

C2

gstat[.sloleaks[.com

web[.cindycrawfordgroup[.com

sertificatkey[.com/upload/iputil.rar

gstat[.premiamo[.com

gstat.[secundamo[.com

gstat[.secureza[.com

gstat[.securezzas[.com

gstat[.securanto[.com

gstat[.secundato[.com

gstat[.securezzis[.net

gstat[.securanto[.net

gstat[.secundato[.net

gstat[.premiamo[.eu

gstat[.securezal[.xyz

Back To Top