Analisi tecnica del Malware Hunter JAMESWT

Seconda campagna Ursnif/Gozi contro l’Italia in un giorno. Questa sfrutta il template di Dridex e una falsa fattura. L’allegato xls contatta un solo link che scarica una DLL, la quale avvia la catena d’infezione del malware. A patto che si verifichino 3 condizioni

Seconda campagna Ursnif/Gozi contro l’Italia in un solo giorno. Questa volta l’esca è una falsa fattura del corriere Bartolini. L’allegato contiene un file xls, che sfrutta il template di Dridex. Questo, se aperto, contatta un solo link che scarica una DLL, la quale avvia la catena d’infezione del malware. Ciò, però, a patto che si verifichino tre condizioni:

• L’IP deve essere italiano;
• L’IP non deve essere in blacklist
• La DLL non deve essere stata già scaricata.

Di conseguenza, il bersaglio del cybercrime è espressamente il nostro paese. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

La falsa mail di Bartolini

La fattura fake

Il link da cui si scarica la DLL

DNS HTTP/HTTPS requests / Connection