skip to Main Content

Cybercrime, Ursnif/Gozi torna in Italia con la campagna a tema INPS

Analisi tecnica del Malware Hunter JAMESWT

Ursnif/Gozi torna in Italia con la campagna a tema INPS. Il cybercrime ha aggiornato i link, ma ha mantenuto invariato l’impianto della trappola. L’esca è sempre la mancata accettazione di una domanda e l’infezione del malware parte dall’allegato .xls

Ursnif/Gozi torna in Italia con una nuova campagna del cybercrime a tema INPS. L’impianto è il medesimo degli ultimi attacchi che sfruttavano l’Istituto, ma i link sono stati aggiornati. L’esca è sempre una falsa mancata accettazione di una domanda, i cui dettagli sono contenuti nell’allegato. Anche il metodo per diffondere il malware è invariato. L’attachment è un file xls (diverso per ogni email) che, una volta aperto, richiede la password (presente nel testo) e contatta l’unico url contenuto al suo interno, il quale varia per ogni messaggio. Da qui viene poi scaricata una DLL sul computer dell’utente, che dà il via alla catena d’infezione. La campagna, peraltro, continua a essere rivolta espressamente contro il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani, anche se a volte i link sono raggiungibili da IP in altre nazioni. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e installare ulteriori codici malevoli.

La mail-trappola a tema INPS

Il falso documento xls

DNS HTTP/HTTPS requests / Connection

 

 

Back To Top