Nuova email su una RFQ veicola Remcos via Modiloader. L’allegato compresso contiene un file exe: il loader, che contatta un url e scarica il malware finale

L’email “REQUEST FOR QUOTATION Ref. # IRQ/21/08645398” è l’esca di una nuova campagna Remcos via Modiloader (alias DBatLoader e NatsoLoader).

L’allegato compresso contiene un file exe: il loader, che contatta un url e scarica il malware finale. Remcos è un Remote Access Trojan (RAT) del cybercrime, associato soprattutto a campagne phishing a tema corriere e con un’ampia gamma di funzionalità: come il monitoraggio da vicino delle attività degli utenti, la registrazione dei contenuti audio e video, l’acquisizione di credenziali, il furto di valuta digitale, il download di payload aggiuntivi e l’esfiltrazione di dati riservati evitando il rilevamento e le sandbox.

C2 Modiloader

C2 Remcos