L’esperto di cyber security JAMESWT scopre una nuova campagna phishing del cybercrime per veicolare Urnisf/Gozi in Italia con l’esca dell’INPS. Questa sfrutta un allegato protetto da password. Inserendola si scarica una DLL che avvia l’infezione del malware

Nuovo attacco del cybercrime per diffondere Ursnif/Gozi in Italia con l’esca dell’INPS. L’ha scoperta il ricercatore di cyber security JAMESWT. La mail, che ha come oggetto “Istituto Nazionale Previdenza Sociale”, come nelle precedenti campagne che sfruttavano l’Istituto fa riferimento a presunte discordanze sui pagamenti dei contributi previdenziali. A proposito, si invita la possibile vittima ad aprire l’allegato excel per i dettagli. Questo è protetto da password (“inps”, comunicata nel messaggio) che, una volta inserita, contatta un sito malevolo e scarica la DLL infettando il computer con il malware. Anche in questo caso la campagna è mirata solo contro il nostro paese. Infatti, la DLL viene scaricata solo dagli IP italiani. Il testo, inoltre, è scritto in maniera corretta anche se con piccoli errori.

Il testo della mail-trappola INPS

I siti malevoli da cui viene scaricata la DLL e i C2

Ulteriori URL da cui viene scaricato il malware

L’allegato Excel protetto

Alcuni esempi della quantità di email malevole, inviate allo stesso indirizzo