Analisi tecnica del Malware Hunter JAMESWT

Un falso ordine di acquisto è l’ultima esca del cybercrime per veicolare Ursnif/Gozi in Italia. ’allegato compresso della mail contiene un file doc che, se aperto, scarica la dll che attiva l’infezione del malware. Ma solo da IP del nostro paese

Un falso ordine di acquisto veicola la nuova campagna Ursnif/Gozi in Italia. La mail contiene un allegato compresso con all’interno un file doc.

Questo, se aperto, contatta un unico url (diverso per ogni file).

Quindi, scarica la dll che avvia la catena d’infezione del malware.

Peraltro, le mail sono state inviate a partire da mezzanotte, ma gli url contattati dal doc sono stati attivati dalle 07:30. Fino ad allora, infatti, aprendo il documento non veniva scaricata la dll.

La campagna prende di mira espressamente il nostro paese, in quanto la dll si può scaricare solo da IP italiani, anche se non ci sono limiti, non essendoci una blacklist. Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.