skip to Main Content

Cybercrime, false fatture scadute veicolano Spy Banker in Italia

Il cyber security hunter JAMESWT rileva una nuova campagna del cybercrime per veicolare Spy Banker in Italia. L’esca sono false fatture non pagate e l’infezione del malware viene avviata da un link che sembra genuino. Obiettivo: rubare le credenziali di accesso a banche selezionate

Una fattura scaduta e non pagata è l’esca del cybercrime per veicolare Spy Banker in Italia. Il cyber security hunter JAMESWT ha rilevato una campagna che punta a convincere la potenziale vittima a scaricare l’allegato dal link all’interno della mail. La trappola è avvalorata dal fatto che si appoggia a un sito che sembra genuino, in quanto si trova su un dominio Google. L’attachment è un documento compresso .zip, che nasconde uno Windows Script File (WSF). Questo avvia la catena d’infezione scaricando una serie di malware i quali effettuano poi il download del payload finale. Il testo del messaggio è molto elementare e contiene errori di sintassi, segno che probabilmente è stato compilato usando un traduttore automatico. Comunque la trappola è molto pericolosa. Questi tipi di SpyBanker, tra le varie cose, sono studiati per rubare le credenziali dei conti online di una serie di banche, codificate all’interno

La mail-trappola con il link malevolo

DNS HTTP/HTTPS requests / Connection

Gli Indicatori di Compromissione (IoC)

ZIP

MDA5 e12d366a259a8cf634c117af4b870d76

WSF

MDA5 4fc6a7c03ba2e2efa603463ff922888d

JS

MDA5 8593d818447143221317e0ae9b09ed64

zip

MDA5 16589896cfc286c7335c9721cbe3d643

Payload

MDA5 db5613c38b4213b86db3f47ac48fb80f

MDA5 0db3577073bf75654cd7199fc3a3cb7c

MDA5 1b108314d8c25e0ad9d29d7bdb12a09f

LINK

hXXps://storage[.googleapis[.com/bancodeimagens-3bddc.appspot.com/Fattura/Vedere.htm

Back To Top