Il falso documento pdf allegato all’email “PURCHASE ORDER 05-30-2023” contiene un link, da cui si scarica un file tgz con un TAR, al cui interno c’è un exe: il malware.
Cybercrime, maxi campagna per diffondere FTCODE via PEC in Italia
Il CERT-AgID: Il cybercrime ha lanciato una massiccia campagna malspam per diffondere FTCODE via PEC in Italia. I bersagli sono le strutture della Pubblica Amministrazione e i privati. Il malware sfrutta un presunto contenzioso civile al Tribunale di Napoli
Il cybercrime ha lanciato una massiccia campagna malspam per diffondere il malware FTCODE via PEC in Italia. Lo denunciano gli esperti di cyber security del CERT-AgID. I bersagli sono le strutture della Pubblica Amministrazione e i privati. La mail malevola si presenta oggi con oggetto “Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}” e avverte la vittima di un fantomatico “Contenzioso Civile” riportando, al fine di avvalorare il contenuto del messaggio, il nome di personale realmente esistente presso il Tribunale del capoluogo partenopeo. Una volta avviato, il codice malevolo cerca di acquisire le password del sistema colpito e le informazioni sui domini Windows in cui è registrata la macchina, i relativi utenti ed informazioni sui Domain Controller. Infine, si diffonde via email, utilizzando un elenco di indirizzi e-mail con relative credenziali recuperato dal C2.
Come funziona la catena d’infezione del malware secondo gli esperti di cyber security
Secondo gli esperti di cyber security, la catena di compromissione ha inizio nel momento in cui la vittima clicca sul link per “…prendere visione degli allegati che costituiscono gli atti notificati“. Questo punta a un sotto-dominio denominato “documento” di specifici domini compromessi per effettuare un redirect alla risorsa malevola, un file zip caricato su Dropbox e chiamato “MicrosoftWord_e880c7b8fb4b7601ce0583ec5d896d5e.zip“. Al suo interno c’è uno script VBS con lo stesso nome che, una volta eseguito, provvede a lanciare FTCODE. Il malware cerca di carpire le credenziali di alcuni client di posta e browser, nonché di scaricare e pianificare all’avvio uno script VBS (sempre attribuibile come JasperLoader), il quale ne scarica uno in PowerShell per contattare il C2 riportando la corretta esecuzione e cominciare a operare, mettendosi in ascolto di altri eventuali payload.
Articoli correlati
