L’allegato pdf punta a un url da cui scaricare un file zip con un JS che contatta un altro url e scarica un secondo js, attivando la catena d’infezione del malware.
Cybercrime, Mekotio veicolato in Italia via falsa ricevuta fiscale
Analisi tecnica del Malware Hunter JAMESWT
Mekotio torna in Italia con una mail su una falsa ricevuta fiscale. Il link nel testo scarica uno zip con un file msi all’interno. Questo contatta un url e ne scarica un altro con un vbs e la dll autoinstallante, il malware
La mail su una falsa ricevuta fiscale dell’amministrazione tributaria del “Governo Italiano” veicola la nuova campagna Mekotio in Italia.
Il link nel testo scarica un documento zip con un file msi all’interno. Questo contatta un url ed effettua il download di un altro zip, che contiene un vbs e la dll auto-installante, la quale avvia l’infezione del malware.
Mekotio è uno spy banker che, sin dalla sua nascita nel 2015, era stato usato dal cybercrime per colpire quasi esclusivamente obiettivi in America Latina o comunque di lingua spagnola. Recentemente, però, ha fatto la sua comparsa anche nel nostro paese con diverse campagne, tra cui a tema Ministero dell’Economia e delle Finanze (MEF) e dei Trasporti (MIT).
Malware samples
Articoli correlati
