L’allegato pdf punta a un url da cui scaricare un file zip con un JS che contatta un altro url e scarica un secondo js, attivando la catena d’infezione del malware.
Cybercrime, Ursnif in Italia via Agenzia delle Entrate ed Enel Energia
Analisi tecnica del Malware Hunter JAMESWT
Ursnif in Italia via Agenzia delle Entrate ed Enel Energia. Nel primo caso il link nella mail scarica uno zip con un hta, che contatta un url e scarica la dll. Nel secondo, l’allegato xlsm contata un unico url
Doppia campagna Ursnif in Italia via Agenzia delle Entrate ed Enel Energia.
Nel primo caso, ogni mail contiene un link diverso che scarica un file zip con dentro un hta. Questo contatta un altro url (diverso per ogni hta) e scarica la dll, avviando l’infezione del malware.
Nel secondo, l’allegato xlsm contatta direttamente un unico url e scarica la dll. Solo da IP italiani e non in blacklist. Ursnif/Gozi è un trojan bancario, usato dal cybercrime per intercettare traffico di rete, trafugare credenziali e scaricare altri malware.
I C2 del Malware delle due campagne
Articoli correlati
