La maxi campagna Formbook via Guloader viene dal Nepal. Tutte le email, arrivate anche in Italia, pur variando nei testi e negli allegati rar, sono state inviate da un unico server. I mittenti sono stati spoofati

La maxi campagna Formbook via Guloader in circolazione in tutto il mondo ha un elemento distintivo: tutte le email che veicolano il malware tramite allegati compressi rar con file exe all’interno, nonostante formalmente provengano da soggetti diversi e abbiano testi di varia tipologia, sono state inviate da un unico server di posta in Nepal. Questo è “mail.unicom.net.np” con IP 103.117.92.145. Ciò significa che tutti i teorici indirizzi dei mittenti che appaiono nel messaggio in realtà non esistono, in quanto sono stati “spoofati”.

La sorgente delle email