I ricercatori di cybersecurity di AhnLab: Il malware viene scaricato ed eseguito da un file WSF all’interno di un file compresso, veicolato tramite url nelle email di phishing.
Gli esperti di cybersecurity di CERT-Agid rilevano 11 malware: AgentTesla, Remcos, Formbook, ChaosRAT, Avemaria, Anyplace,XWorm, Wikiloader,SpyNote, Guloader e WarzoneRAT.
L’esperto di cybersecurity JAMESWT: Il link nel messaggio scarica uno zip con un url che punta a un SMB, che scarica ed esegue il malware. Stesse TTP della campagna “Agenzia delle Entrate” in Italia.
L’esperto di cybersecurity JAMESWT: Il link nel messaggio scarica uno zip con un url che punta a un SMB, uguale a quello usato nella campagna a tema “Agenzia delle Entrate” in Italia, che scarica ed esegue il malware.
Il ricercatore di cybersecurity JAMESWT: Il link nelle email scarica uno zip con all’interno url che punta a un SMB, il quale effettua il download ed esegue il malware.
Gli esperti di cybersecurity del CERT-AgID: Template, share e metologie di compromissione rimangono invariate. Cambiano i payload: da Ursnif si passa a SystemBC e Remcos.