Il file HTA nell’allegato per contattare gli url e scaricare la dll, avviando l’infezione del malware, in un caso esegue una PS e nell’altro usa bitsadmin.
L’allegato contiene un file HTA o VBS, che esegue una PS e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando l’infezione del malware.
Gli esperti di cybersecurity del CSIRT-Italia. Il link nella mail su un presunto mancato rimborso, punta a un falso sito dell’Istituto. Obiettivo: rubare dati sensibili.
Ogni mail ha un allegato zip diverso, come il file doc all’interno. Questo contatta un unico link (che varia in ogni documento) e scarica la dll, che avvia l’infezione del malware.
L’esca sono sempre i bonus per l’emergenza Covid-19. Via mail-SMS si indirizza la vittima a un falso sito dell’istituto per rubare credenziali e dati sensibili.
Gli esperti di cybersecurity del CERT-AGID: L’obiettivo è rubare dati personali e credenziali alle vittime, tramite sms o mail sulle indennità, associati a falsi siti dell’Istituto.
La mail e il processo d’infezione del malware sono uguali ai precedenti, cambia solo la password. Il download della DLL viene effettuato solo se l’IP è italiano.