In due casi si tratta di attacchi generici, arrivati anche in Italia. Nel terzo sono mirati. I file compressi contengono un exe: il malware stesso. I dati rubati sono esfiltrati via smtp.
Cybercrime, MassLogger colpisce con campagne sui file compressi
Analisi tecnica del Malware Hunter JAMESWT
MassLogger colpisce anche oggi con due campagne che si basano sui file compressi. Una veicola il malware attraverso un eseguibile all’interno di un file .7z e l’altra con un CHM in un allegato .R15 o .R04
MassLogger colpisce anche oggi con due campagne malspam diverse che si basano sulla solita falsa fattura o documento da firmare e sui file compressi. Nella prima email (rilevata da abuse.ch) c’è un allegato .7z, con all’interno un eseguibile che contatta una url da cui viene scaricata una finta immagine. Questa, nel momento della decodifica, lancia la catena d’infezione del malware. Nella seconda, il processo finale è identico (foto fake che avvia l’infezione, ma invece dell’eseguibile c’è un file CHM (Microsoft Compiled HTML Help, rilevato da MasterToba) e l’attachment è un file R15 o R04. Il keylogger ruba credenziali di accesso e dati sensibili, i quali vengono trasmessi ai server C2 tramite ftp.
L’email con il file exe nell’allegato
L’email con il file CHM nell’attachment
DNS HTTP/HTTPS requests / Connection della mail con file exe
DNS HTTP/HTTPS requests / Connection della mail con il file CHM
Articoli correlati
