L’xls allegato alla mail o in uno zip contatta un unico url e scarica la dll, avviando l’infezione del malware, ma solo da IP italiani e non in blacklist.
Cybercrime, FormBook sfrutta falsi ordini di acquisto anche in Italia
Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna FormBook su falsi ordini di acquisto colpisce anche in Italia. L’allegato word della mail, grazie all’equation editor exploit, avvia un VBS e una Powershell. Questi scaricano il malware e lo decodificano
FormBook si nasconde dietro a una falsa mail di ordini d’acquisto. Il messaggio, arrivato anche in Italia, contiene un allegato word che, una volta aperto, fa partire un VBS e una powershell contenuti all’interno, grazie allo sfruttamento dell’equation editor exploit legato al file doc.
Questi scaricano il malware e lo decodificano, avviando l’infezione del malware.
L’obiettivo del cybercrime è rubare dati sensibili alle vittime. FormBook, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.