L’allegato pdf punta un url e scarica un js, che si collega a un altro url e scarica un secondo js, che attiva l’infezione del malware. Solo da IP italiani non in blacklist.
Cybercrime, campagna FormBook in Italia a tema pagamenti

Analisi tecnica del malware Hunter JAMESWT
Nuova campagna FormBook in Italia a tema pagamenti. L’allegato iso contiene un eseguibile, il malware stesso. Peraltro, è stato sfruttato l’exe (in inglese) di una campagna internazionale
Nuova campagna FormBook in Italia a tema pagamenti sfrutta un indirizzo di posta elettronica compromesso, rilevato da cocaman.
La mail sul “calendario pagamenti” ha un allegato iso che contiene un file eseguibile. Questo è il malware stesso. Gli attori del cybercrime dietro agli attacchi, peraltro, stanno utilizzando la campagna globale, come si evince dal file exe in inglese, adattata per colpire il nostro paese (iso in italiano). L’obiettivo è rubare dati sensibili alle vittime. FormBook, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.
IOCS