Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi.
Cybercrime, campagna Formbook complessa via aziende petrolifere libiche
Campagna Formbook complessa via aziende petrolifere libiche. La mail, arrivata anche in Italia, contiene 5 allegati: 4 immagini e un pdf. Attivando quest’ultimo, viene chiesto di aprire un link che scarica un exe: il malware
Formbook si nasconde all’interno di una campagna complessa che simula l’email di una società petrolifera libica, arrivata anche in Italia.
Il messaggio contiene cinque allegati, di cui quattro immagini e un pdf. Attivando quest’ultimo viene chiesto di aprire un link per leggere il documento.
Questo punta a un url da cui viene scaricato il file exe “Req for Quote”: il malware stesso. Formbook, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.
I C2 del Malware
Articoli correlati
