Il file HTA nell’allegato per contattare gli url e scaricare la dll, avviando l’infezione del malware, in un caso esegue una PS e nell’altro usa bitsadmin.
L’allegato contiene un file HTA o VBS, che esegue una PS e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando l’infezione del malware.
L’allegato zip della mail contiene un vbs che contatta un link da una lista di 2 e scarica la dll, avviando l’infezione del malware. Solo da IP italiani.
L’allegato zip in una falsa mail dell’Agenzia delle Entrate contatta un unico link e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP Italiani.