skip to Main Content

Cybercrime, attacchi agli hotel in Italia con Formbook e Agent Tesla

Il ricercatore di cyber security JAMESWT scopre nuove campagne del cybercrime contro gli hotel in Italia. Nella prima si cerca di infettarli con Formbook, sfruttando l’esca delle false prenotazioni. L’allegato RAR avvia la catena d’infezione del malware

Nuovi attacchi del cybercrime per infettare gli hotel in Italia con Formbook e Agent Tesla. Li ha scoperti il ricercatore di cyber security JAMESWT. La prima è una campagna phishing, mirata alle nostre imprese, che sfrutta una richiesta di conferma in italiano di una prenotazione. Ciò affinché la potenziale vittima apra l’allegato, un file compresso (RAR), da cui si avvia la catena d’infezione del malware. La precedente offensiva che prendeva di mira gli alberghi con il codice malevolo, invece era in inglese. Il mittente era una reale azienda, usata per diffondere un falso messaggio, e l’attachment era un .iso. L’obiettivo, comunque, rimane invariato: usare il malware per rubare dati sensibili alle vittime. Questo, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.

La campagna Agent Tesla contro gli alberghi in Italia punta sull’allegato .gz. Questo al suo interno contiene un file eseguibile malevolo, il quale avvia la catena d’infezione del malware

La seconda campagna contro gli hotel in Italia, scoperta dal ricercatore di cyber security, punta a veicolare Agent Tesla. Questa volta il testo della mail è in inglese e fa riferimento a una presunta fattura. Anche qui l’obiettivo è far aprire l’allegato alla possibile vittima. Si tratta, infatti, di un archivio compresso in formato .gz, dello stesso tipo di quelli usati nelle recenti mail a tema DHL, Uruguay e Arabia Saudita. Al suo interno contiene un file eseguibile malevolo, il quale avvia la catena d’infezione del malware. Questo, un info-stealer e data-stealer, invia le informazioni rubate tramite email o ftp. Peraltro, viene usato ciclicamente dai criminali cibernetici contro obiettivi italiani.

Il testo della mail-trappola per veicolare Formbook

La conferma che si tratta di un malware e l’attribuzione della famiglia

I link da cui viene scaricato il codice malevolo

La mail usata per cercare di infettare con Agent Tesla gli hotel in Italia

L’analisi dell’eseguibile, in cui si conferma che questo è malevolo

 

 

 

 

 

Back To Top