Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna FormBook su falsi ordini di acquisto colpisce anche in Italia. L’allegato word della mail, grazie all’equation editor exploit, avvia un VBS e una Powershell. Questi scaricano il malware e lo decodificano

FormBook si nasconde dietro a una falsa mail di ordini d’acquisto. Il messaggio, arrivato anche in Italia, contiene un allegato word che, una volta aperto, fa partire un VBS e una powershell contenuti all’interno, grazie allo sfruttamento dell’equation editor exploit legato al file doc.

Questi scaricano il malware e lo decodificano, avviando l’infezione del malware.

L’obiettivo del cybercrime è rubare dati sensibili alle vittime. FormBook, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre può rubare credenziali di posta e browser, nonché effettuare screenshot. Infine, ha capacità di impartire comandi da remoto sul pc infetto, come scaricare ulteriori payload o aggiornare quelli presenti.

I C2 contattati da FormBook