Analisi tecnica del Malware Hunter JAMESWT

La campagna globale di Azorult arriva anche in Italia. L’esca è un falso ordine di un’azienda di Taiwan. L’allegato xls, se aperto, contatta un link e reindirizza la vittima a un sito malevolo, che scarica il malware

La campagna globale di Azorult arriva anche in Italia. Dalle scorse ore sono cominciate a circolare false email di una vera azienda di Shanghai, riferite a un presunto ordine di prodotti. L’allegato xls del messaggio, se aperto, contatta un link che re-indirizza l’utente a un sito malevolo da cui viene scaricato il malware. Il bersaglio sembrano essere le aziende. Azorult è un information stealer che ruba la storia del browser, i cookies, ID/password, le informazioni sulla cryptocurrency e di altro tipo. Inoltre, può agire da downloader per scaricare altri payload malevoli. Una sua variante, peraltro, è in grado di creare un nuovo account nascosto da amministratore nel computer infetto, in modo da impostare le chiavi di registro per creare una connessione Remote Desktop Protocol (RDP).

La falsa mail dell’azienda di Taiwan

L’allegato xls

Il redirect del link

IOCS