Cybercrime, in corso in Italia una maxi offensiva Ursnif
Ecco cosa hanno scoperto i ricercatori di cybersecurity di CERT-AgID analizzando le 4 campagne malware osservate dall’inizio di marzo.
Cybercrime, Agenzia delle Entrate e MISE al centro di una campagna Ursnif in Italia
Gli allegati zip/url di diverse email contattano un indirizzo web e scaricano un file exe: il malware.
Cybercrime, campagna Ursnif in Italia via Agenzia delle Entrate
L’allegato zip nella mail contiene un file HTA. Questo tramite bitsadmin contatta un unico url e scarica la dll, avviando l’infezione del malware.
Cybercrime, doppia campagna Ursnif in Italia via MISE
Il malware è inoculato tramite i file HTA all’interno dell’allegato zip. La dll in un caso è scaricata via bitsadmin e nell’altro dopo l’esecuzione di un powershell.
Cybercrime, MISE e le bollette luce/gas esche per Ursnif in Italia
Il file HTA nell’allegato zip contatta un url (diverso in ogni file) ed esegue uno script, che scarica la dll da un altro url, avviando l’infezione del malware.
Cybercrime, il MISE ancora esca Ursnif/Gozi in Italia
L’allegato zip in una falsa mail sulle agevolazioni fiscali contiene un file HTA, che usa bitsadmin per scaricare la dll e avviare l’infezione del malware.
Cybercrime, il MISE esca per diffondere Ursnif/Gozi in Italia
L’allegato zip all’interno di una falsa mail sulle agevolazioni fiscali contiene un file HTA, che usa bitsadmin per scaricare la dll e avviare l’infezione del malware.
Cybercrime, torna in Italia la campagna Ursnif/Gozi con le password
L’allegato xls, diverso per ogni messaggio, contatta una dll e scarica il malware. Alcuni file, però, sono fallati e non funzionano.
Cybercrime, il MISE ancora esca per diffondere Ursnif/Gozi in Italia
L’allegato doc delle mail contatta un unico link e scarica la dll che avvia l’infezione del malware. Ma solo da IP del nostro paese.
Cybercrime, il MISE ancora esca per diffondere Ursnif/Gozi in Italia
Ogni mail ha allegato zip con file Word diversi. Il doc contatta unico link (cambia in ogni documento) e scarica la dll, che avvia l’infezione del malware. C’è anche una variante senza zip.