Gli esperti di cybersecurity di CERT-AgID: L’archivio zip dell’email contiene una foto e uno shortcut url. Questo attiva la catena d’infezione del malware, ma solo dall’Italia.
Gli allegati xls di due email con oggetto simile contattano un url (diverso per ogni xls) e scaricano il malware. Ma solo da IP italiani e non in blacklist.
Il CERT-AgID rileva i malware Formbook, BluStealer, Quakbot, Lokibot, SmsRat, AgentTesla, Remcos e IcedID. Il phishing sfrutta anche Agenzia delle Entrate.