Analisi tecnica del Malware Hunter JAMESWT

Zeppelin-Buran si nasconde dietro a false fatture UPS. Il ransomware, che ha capacità di esfiltrare i dati oltre a criptarli. La vittima, aprendo un link e il documento word scaricato, attiva la catena d’infezione del malware

La campagna malspam su UPS cambia malware distribuito: ieri era Dridex e oggi e Zeppelin-Buran. In queste ore circolano mail su false fatture con link malevoli. Aprendoli, viene scaricato un documento doc che contatta un url random da una lista ed effettua il download di un eseguibile autoestraente, che avvia la catena d’infezione del ransomware. Buran è malware molto di moda ultimamente come ransomware-as-a-service (RaaS). Questo, peraltro, oltre a criptare i dati ha anche una funzione per esfiltrarli. Capacità fondamentale per la strategia della doppia estorsione, sempre più usata dal cybercrime. Ieri, invece, gli stessi link scaricavano il documento doc malevolo scaricava il trojan bancario.

La falsa mail con il link malevolo

Il documento word che scarica un eseguibile random da una lista interna

La lista dei link da cui viene scaricato l’eseguibile

Il contenuto dell’eseguibile auto-estraente

La nota di riscatto