Nuova campagna per veicolare il malware, attraverso un falso ordine. L’allegato contiene un file. Exe. Questo, se lanciato, avvia la catena d’infezione del keylogger.
Gli esperti di cybersecurity di Sophos: L’infezione del malware parte dall’allegato che contiene uno script. Si connette a un sito remoto, e dopo vari redirect porta a un VBE codificato.
L’infezione parte da allegati Word o XLS con macro. Una volta chiusi, un JS esegue un downloader, che contatta il C2 per scaricare altri malware e recuperare il payload finale.
Falso avviso sull’uso dell’account da parte di terzi, invita la potenziale vittima a confermare l’identità e a rivedere le ultime transazioni. Attenzione, reindirizza a una pagina fake del servizio.
Il messaggio, che sfrutta reali conversazioni precedentemente rubate, punta a far aprire l’allegato. Questo contatta la botnet Epoch 1 e avvia la catena d’infezione del malware.
L’esca sono alcune mail con testi diversi, ma allegato comune: un file compresso con all’interno un JavaScript, che avvia la catena d’infezione del malware.
Il CERT-AgID: I malware più attivi sono stati Emotet, Ursnif/Gozi, FormBook, Dridex e Agent Tesla. E’ comparso anche SmokeLoader. Allegati e link i principali vettori dell’infezione.
Falsa mail dell’organismo sulle precauzioni da adottare contro l’emergenza coronavirus sfrutta l’allegato per avviare la catena d’infezione del malware. Updated with IoCs