Analisi tecnica del Malware Hunter JAMESWT

Torna la campagna Hancitor via DocuSign. L’allegato doc della mail, giunta anche in Italia, viene scaricato ogni volta da un url diverso e contiene una dll con il malware. Non si sa quale sia il payalod finale

Nuova ondata della campagna Hancitor, che passa da una falsa notifica mail da DocuSign.

Il messaggio, arrivato anche in Italia, contiene un allegato doc, che si scarica aprendo il link nel testo (il bottone giallo). Questo contatta un url diverso ogni volta ed effettua il download di un documento che varia a ogni operazione. Al suo interno c’è una dll con Hancitor (alias Chanitor). Non è chiaro, invece, al momento, cosa il downloader scarichi una volta installato nella macchina della vittima. Nelle ultime campagne del cybercrime il payload finale era FickerStealer, un info-stealer che prende di mira i pc con sistema operativo Windows, dalla versione XP alla 10.

Malware samples

I C2 del Malware