skip to Main Content

Cybercrime, il RAT MoDi veicolato con una campagna malspam fileless

I ricercatori di cybersecurity di Sophos Labs: Il RAT MoDi viene veicolato dal cybercrime tramite una campagna malspam fileless. L’infezione del malware parte dall’allegato che contiene uno script. Si connette a un sito remoto, e dopo vari redirect porta a un VBE codificato

Il MoDi RAT viene veicolato dal cybercrime tramite una campagna malspam fileless. Lo hanno scoperto i ricercatori di cybersecurity di Sophos Labs. L’attacco inizia quando un destinatario del messaggio apre l’allegato, il quale contiene uno script Visual Basic che si connette a un sito remoto. Questo è l’entry point in una serie di redirect HTTP 302 che alla fine portano a un archivio .Zip, ospitato nell’archivio cloud di OneDrive, che contiene un file VBS (VBE) codificato. Come ricorda il CSIRT-Italia, le particolarità di questo tipo di attacco consistono nell’impiego di tecniche che, per evitare il rilevamento da parte dei prodotti di sicurezza convenzionali, coinvolgono solo parzialmente il disco fisso e utilizzano la clipboard di sistema per copiare e lanciare comandi powershell. Una soluzione che permette di sviluppare i successivi passi della catena di infezione nella modalità “fileless”.

Back To Top