I ricercatori di cyber security JAMESWT e reecDeep hanno identificato una nuova campagna malspam del cybercrime per distribuire il malware Ursnif (Gozi) in Italia attraverso una falsa comunicazione DHL.
L’esca questa volta è una mail del corriere DHL, comprensiva di codice identificativo, che fa riferimento a una presunta nuova fattura in allegato.
Il testo invita l’utente a prendere visione del file Excel in formato XLSM allegato.
All’apertura del file Excel viene richiesto di abilitare la macro VBA che avvia l’esecuzione di codice PowerShell.
La catena d’infezione porta al download di un payload finale di Ursnif sul computer della vittima.
L’attacco è diretto proprio alle utenze italiane in quanto per raggiungere il sito casevacane2020top(.)com è necessario che l’IP sia italiano. Peraltro, una volta scaricato il codice malevolo, si è bannati in automatico e non è possibile effettuare ulteriori download di payload dallo stesso indirizzo, il che garantisce agli attori malevoli maggiori possibilità di non essere rilevati dagli antivirus.
NEW Variant #gozi #isfb #ursnif #dhl #italy 07_07_2020
casevacenze2020top.]com >ITA+blacklist+1time
Runhttps://t.co/cYdRgC0Yis
Samples xlsm/dllhttps://t.co/zA4qUVTRA2@guelfoweb @Ethereal_x0r @malwrhunterteam@sugimu_sec @Arkbird_SOLG @VK_Intel @felixw3000 @fumik0_
C2⬇️⬇️⬇️ pic.twitter.com/4DWPEDVDuf— JAMESWT (@JAMESWT_MHT) July 7, 2020
🚨#Malware #Gozi targets #Italy 🇮🇹
sample: https://t.co/EKo0xLpcf9
2nd stage: https://t.co/bOZbaOXXRb➡️hxxps://casevacenze2020top.com
c2🔥uncomfermed.]com@VK_Intel @guelfoweb @abuse_ch @luc4m @Manu_De_Lucia @58_158_177_102 @sugimu_sec @luigi_martire94 @Bl4ng3l
#infosec pic.twitter.com/FmELDcvMPL— reecDeep (@reecdeep) July 7, 2020