skip to Main Content

Cybercrime, nuova ondata della campagna Hancitor via DocuSign

Analisi tecnica del Malware Hunter JAMESWT

Torna la campagna Hancitor via DocuSign. L’allegato doc della mail, giunta anche in Italia, è scaricato ogni volta da un url diverso e contiene una dll con il malware. Il payalod finale è ignoto

Nuova ondata della campagna Hancitor via falsa notifica mail da DocuSign. Il messaggio, arrivato anche in Italia, contiene un allegato doc, che si scarica aprendo il link nel testo (il bottone giallo).

Questo contatta un url diverso ogni volta ed effettua il download di un documento che varia a ogni operazione. Al suo interno c’è una dll con Hancitor (alias Chanitor). Non si sa, invece, cosa il downloader scarichi una volta installato nella macchina della vittima. Nelle ultime campagne del cybercrime il payload finale era FickerStealer, un info-stealer che prende di mira i pc con sistema operativo Windows, dalla versione XP alla 10.

Malware samples

I C2 del Malware

Back To Top