L’allegato xlsm di una falsa email BRT contatta un unico url e scarica la dll, avviando l’infezione del malware. Solo da IP italiani e non in blacklist.
Cybercrime, nuova campagna MassLogger contro le aziende in Italia
Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna MassLogger del cybercrime contro le aziende in Italia con esche e testi diversi. L’allegato però è comune: un file compresso con all’interno un JavaScript, che avvia la catena d’infezione del malware.
MassLogger prende ancora di mira l’Italia con una campagna mirata alle aziende. In queste ore circolano diverse email-trappola: una tipologia riporta la richiesta di “restituire l’allegato firmato e timbrato”. Un’altra è riferita alla richiesta di alcuni prodotti da parte del mittente. Per avvalorare il messaggio, peraltro, è stato usato il nome di una reale azienda di trasporti. L’obiettivo comune rimane sempre quello di far sì che la vittima apra l’attachment. Questo è un file compresso (.r00 o r.04) con all’interno un JavaScript. Il JS avvia il processo d’infezione, scaricando il malware (v3.0.7563.31381) in formato “criptato”. Questo viene poi decodificato e reso operativo. Il codice malevolo è un keylogger, che ruba credenziali di accesso e dati sensibili, i quali vengono trasmessi ai server C2 tramite ftp.
Due esempi di email-trappola con testi diversi