L’allegato GZ della mail ne contiene uno zip protetto da password (non fornita nel testo), con all’interno un exe: il malware stesso. Non si sa quale sia il payload successivo.
Cybercrime, FormBook sfrutta falsi ordini di acquisto anche in Italia
Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna FormBook su falsi ordini di acquisto colpisce anche in Italia. L’allegato word della mail, grazie all’equation editor exploit, avvia un VBS e una Powershell. Questi scaricano il malware e lo decodificano
FormBook si nasconde dietro a una falsa mail di ordini d’acquisto. Il messaggio, arrivato anche in Italia, contiene un allegato word che, una volta aperto, fa partire un VBS e una powershell contenuti all’interno, grazie allo sfruttamento dell’equation editor exploit legato al file doc.
Questi scaricano il malware e lo decodificano, avviando l’infezione del malware.
L’obiettivo del cybercrime è rubare dati sensibili alle vittime. FormBook, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.