這一次，各種性質的主要意大利組織似乎成為了他們的“舞台”名稱 Gozi 的十字準線。

負責此案的是以色列網絡安全公司 Cynet。

Cynet 360 是世界上第一個原生集成端點攻擊預防和檢測功能的自主違規保護平台。

Ursnif 再次攻擊，這次是針對意大利組織

Ursnif是一個與俄羅斯有關聯的犯罪集團，其背後有著悠久的網絡攻擊歷史，最近一段時間似乎主要想攻擊和削弱意大利的組織。

這些數據直接來自對 Cynet 的仔細分析，Cynet 是一家在檢測和管理網絡安全領域的高級威脅方面處於領先地位的以色列公司。

在過去的一周裡，該公司觀察到針對意大利客戶的網絡攻擊穩步增長，而且並非微不足道。

黑客如何運作

經過大量分析，發現 Ursnif 的作案手法主要針對數據洩露。儘管已經觀察到變體增加了後門、間諜軟件和文件注入器等功能。

如上所述，從 Cynet 的分析中可以看出，成為 Gozi 攻擊受害者的客戶端似乎彼此之間幾乎沒有任何共同之處。

到目前為止，這些黑客攻擊背後似乎還沒有明確的策略。事實上，已檢測到攻擊企圖的目標客戶之間不存在市場同質性。

已經檢測到針對衛生部門、武裝部隊、電子商務和大型零售商的數據洩露企圖。

攻擊通常從魚撈活動開始。

黑客首先獲取有關受害者的在線信息，以便惡意電子郵件顯得個性化並與用戶實際使用的服務相關聯。然後引導後者填寫包含惡意負載的表格，在本例中為 excel 文件。

此時剩下要做的就是通過 regsvr32 崩潰下載並運行 DLL，這是一個能夠操縱其他程序和監視應用程序的 Windows 系統文件，以激活受害者環境的命令和控制服務器。

Cynet 意大利、西班牙和葡萄牙的渠道經理Marco Lucchina 表示：

“Ursnif 組織的主要目標是竊取數據，旨在獲取未經授權的收入，並利用現有信息進行其他攻擊。

Ursnif 已在最近幾週的幾次網絡釣魚活動中被報告，與“Ricevuta AgenziaEntrate”或“sollecito DHL”等消息相關，但由於我們的 Orion Group（威脅情報）開展的工作，我們檢測到更廣泛的使用以及針對每個客戶定制的針對性攻擊。

此外，Cynet 在用戶雙擊並觸發第一個惡意負載的那一刻就檢測並阻止了威脅，這意味著以前的保護層（如反垃圾郵件和用戶培訓）不夠有效，這是一個警鐘，表明採取縱深防禦戰略的重要性”。