L’allegato zip nella mail contiene un file doc. Questo, se aperto, contatta un link da una lista interna e scarica il malware dalle botnet Epoch 1 e 3.
Gli esperti di cybersecurity del CERT-AgID: Di queste, 30 erano mirate al nostro paese. A fronte di ciò, usati solo due malware: Ursnif/Gozi e FormBook.
L’allegato doc delle mail, provenienti tutte da domini .”casa”, contatta un unico link e scarica la dll che avvia l’infezione del malware. Ma solo dalle 07:30.
Il gruppo continua a puntare sulla double extortion e a rinnovare il malware. Proponendolo anche come Ransomware-as-a-Service (Raas). Difendersi, però, si può. Ecco come.
La catena d’infezione del malware è identica alle precedenti. Cambiano solo la mail, che sfrutta l’Agenzia delle Entrate, e il file doc, allegato direttamente.