L’allegato pdf punta un url e scarica un js, che si collega a un altro url e scarica un secondo js, che attiva l’infezione del malware. Solo da IP italiani non in blacklist.
Cybercrime: tripla campagna malware in un’unica email, anche in Italia

Analisi tecnica del Malware Hunter JAMESWT
Tripla campagna malware in un’unica email, anche in Italia. Tre allegati gz veicolano SnakeKeylogger, AgentTesla e un eseguibile Python, che dovrebbe scaricare un altro payload. Nei primi due casi i dati rubati sono esfiltrati via SMTP
Tripla campagna malware in un’unica email, arrivata anche in Italia, proveniente da un’azienda in Pakistan.
I tre allegati gz veicolano SnakeKeylogger, Agent Tesla e un eseguibile scritto in Python, che dovrebbe scaricare un ulteriore payload, al momento ignoto.
Ogni file contiene un exe, che – se aperto – avvia l’infezione. I dati rubati da SnakeKeylogger e AgentTesla, inoltre, vengono esfiltrati dagli attori del cybercrime via SMTP.