skip to Main Content

Cybercrime, la campagna Formbook contro l’Italia ora punta agli allegati HTML

Il CERT-AgID: La campagna Formbook del cybercrime contro l’Italia si evolve e ora punta agli allegati HTML, che contengono un JS. Se aperti, indirizzano a una falsa pagina di Wetransfer, da cui si scarica il malware

La campagna del cybercrime per veicolare Formbook in Italia si evolve. Lo denunciano gli esperti di cybersecurity del CERT-AgID. Finora il malware era diffuso principalmente tramite allegati ZIP, RAR, ISO, IMG, ecc…. Poi, però, è stata rilevata una email con allegato un file HTML, contenente un JS leggermente offuscato che viene eseguito all’apertura dello stesso. Il codice JS esegue l’unescape del contenuto, che cela una piccola porzione di codice HTML, utile a creare una falsa pagina di download di Wetransfer, mentre il resto è codificato in base64. I link presenti nella pagina, che viene visualizzata all’apertura dell’allegato non sono reali collegamenti a Wetransfer. Ad ogni click, infatti, viene ricaricata la stessa pagina e restituito in download un file EXE. Questo è ulteriormente codificato in base64 e viene invocato dalla funzione JS saveData. L’intento è far aprire alla vittima il documento PDF, che crede di aver correttamente scaricato dal servizio.

Back To Top