In due casi si tratta di attacchi generici, arrivati anche in Italia. Nel terzo sono mirati. I file compressi contengono un exe: il malware stesso. I dati rubati sono esfiltrati via smtp.
L’allegato xlsm di una falsa email BRT contatta un unico url e scarica la dll, avviando l’infezione del malware. Solo da IP italiani e non in blacklist.