L’allegato pdf punta a un url da cui scaricare un file zip con un JS che contatta un altro url e scarica un secondo js, attivando la catena d’infezione del malware.
Cybercrime, torna Hancitor nascosto in una mail DocuSign. Anche in Italia
Analisi tecnica del malware Hunter JAMESWT
Torna Hancitor nascosto in una mail DocuSign, arrivata anche in Italia L’allegato doc del messaggio viene scaricato ogni volta da un url diverso e contiene la dll con il malware. Ignoto il payalod finale
Torna Hancitor nascosto all’interno di una mail DocuSign, arrivata anche in Italia.
L’allegato doc, che si scarica aprendo il link nel testo (il bottone giallo), contatta un url diverso ogni volta ed effettua il download di un documento che varia a ogni operazione. Al suo interno c’è una dll con il malware (alias Chanitor).
Il payload successivo scaricato, invece, è ignoto. Nelle ultime campagne del cybercrime, comunque, questo era CobaltStrike o FickerStealer, un info-stealer che prende di mira i pc con sistema operativo Windows, dalla versione XP alla 10.
I C2 del Malware
Articoli correlati
