Analisi tecnica del Malware Hunter JAMESWT

Triplo attacco Remcos anche in Italia via RFQ. Tre email hanno numeri di richiesta diversi, ma testo e allegato tar identici. All’interno c’è un exe: il malware stesso

Attacco globale con Remcos via mail con l’esca di una Request For Quotation (RFQ). Nelle scorse ore sono state inviate tre messaggi, provenienti teoricamente dall’azienda COSCO ASIA MANAGEMENT LTD, arrivati anche in Italia. Ognuno ha un numero di RFQ diverso, ma il testo all’interno è identico allo stesso modo del file compresso in formato tar.

All’interno c’è il medesimo exe: il malware stesso. e aperto, attiva la catena d’’infezione. Remcos è un Remote Access Trojan (RAT) del cybercrime con un’ampia gamma di funzionalità come il monitoraggio da vicino delle attività degli utenti, la registrazione dei contenuti audio e video, l’acquisizione di credenziali, il furto di valuta digitale, il download di payload aggiuntivi e l’esfiltrazione di dati riservati evitando il rilevamento e le sandbox.

I C2 del Malware

The Joe Sandbox analysis