Il link nella mail scarica un rar con un HTA all’interno, che effettua il download della DLL da 4 IP, avviando l’infezione del malware. I rar e gli HTA sono 40 diversi.
Cybercrime, nuova campagna Guloader anche in Italia via RQF

Analisi tecnica del Malware Hunter JAMESWT
Falso ordine di acquisto di una vera azienda veicola Quloader. L’allegato della mail contiene un file exe, il malware stesso che scarica altri payload. Al momento, però, non si sa quali siano
Un falso ordine d’acquisto (Request for Quotation, RQF) di una vera azienda è l’ultima esca del cybercrime per veicolare Guloader anche in Italia. L’allegato compresso della mail in formato GZ contiene un file eseguibile, il malware stesso.
Questo in passato è stato usato per veicolare diversi tipi di information stealer come Agent Tesla/Origin Logger, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, Ave Maria/Warzone RAT e Parallax RAT. Al momento, però, non è stato possibile risalire a quale sia il payload successivo.