Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna MassLogger del cybercrime contro le aziende in Italia con esche e testi diversi. L’allegato però è comune: un file compresso con all’interno un JavaScript, che avvia la catena d’infezione del malware.

MassLogger prende ancora di mira l’Italia con una campagna mirata alle aziende. In queste ore circolano diverse email-trappola: una tipologia riporta la richiesta di “restituire l’allegato firmato e timbrato”. Un’altra è riferita alla richiesta di alcuni prodotti da parte del mittente. Per avvalorare il messaggio, peraltro, è stato usato il nome di una reale azienda di trasporti. L’obiettivo comune rimane sempre quello di far sì che la vittima apra l’attachment. Questo è un file compresso (.r00 o r.04) con all’interno un JavaScript. Il JS avvia il processo d’infezione, scaricando il malware (v3.0.7563.31381) in formato “criptato”. Questo viene poi decodificato e reso operativo. Il codice malevolo è un keylogger, che ruba credenziali di accesso e dati sensibili, i quali vengono trasmessi ai server C2 tramite ftp.

Due esempi di email-trappola con testi diversi

Script PowerShell per avviare l’infezione

DNS HTTP/HTTPS requests / Connection