I ricercatori di cyber security JAMESWT e reecDeep hanno identificato una nuova campagna malspam del cybercrime per distribuire il malware Ursnif (Gozi) in Italia attraverso una falsa comunicazione DHL.

L’esca questa volta è una mail del corriere DHL, comprensiva di codice identificativo, che fa riferimento a una presunta nuova fattura in allegato.
Il testo invita l’utente a prendere visione del file Excel in formato XLSM allegato.

All’apertura del file Excel viene richiesto di abilitare la macro VBA che avvia l’esecuzione di codice PowerShell.

La catena d’infezione porta al download di un payload finale di Ursnif sul computer della vittima.
L’attacco è diretto proprio alle utenze italiane in quanto per raggiungere il sito casevacane2020top(.)com è necessario che l’IP sia italiano. Peraltro, una volta scaricato il codice malevolo, si è bannati in automatico e non è possibile effettuare ulteriori download di payload dallo stesso indirizzo, il che garantisce agli attori malevoli maggiori possibilità di non essere rilevati dagli antivirus.

 

https://csirt.gov.it/contenuti/campagna-ursnif-veicolata-attraverso-finto-messaggio-dhl-impatta-utenze-italiane-al01-200708-csirt-ita

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE