L’allegato pdf punta un url e scarica un js, che si collega a un altro url e scarica un secondo js, che attiva l’infezione del malware. Solo da IP italiani non in blacklist.
Cybercrime, campagna Asyncrat anche in Italia via richiesta di pagamento
Campagna Asyncrat anche in Italia via falsa richiesta di pagamento. Il falso xlsx nella mail punta a un sito fake con un documento zip. Questo contiene un VBS con un powershell che scarica il malware. Il C2 è lo stesso di RemcosRAT
Asyncrat si nasconde dietro a una falsa richiesta di pagamento da parte di un’azienda cinese. La mail, arrivata anche in Italia, contiene un falso file xlsx in allegato, che in realtà è una foto.
Aprendolo, si viene indirizzati a un sito fake, in cui è presente un documento compresso in formato zip, che simula l’ordine d’acquisto.
Al suo interno, però, c’è un file VBS con Powershell che scarica il malware.
Questo si connette al server di comando e controllo (79.134.225.100), lo stesso usato da gennaio da un altro codice malevolo: RemcosRAT.
Decodifica del Base64
Persistenza
Articoli correlati
