Nuova campagna phishing in Italia sfrutta un kit fallato e mostra involontariamente in chiaro i dati rubati. L’esca è sempre una falsa verifica di sicurezza.
Il gruppo del ransomware avverte le aziende che hanno tempo fino a oggi per avviare le trattative. Altrimenti i dati rubati saranno pubblicati o ceduti. Nuova evoluzione via press release.
Gli esperti di cyber security: L’APT usa un eseguibile, mascherato da documento sul COVID-19, per veicolare il malware. Questo si collega al C2 con su Cloudflare Workers per evitare i controlli.
Gli esperti di cyber security @James_inthe_box e MalwareHunterTeam: Campagna phishing che punta a far aprire alle vittime allegati “armati”. Questi fanno installare il Trojan FormBook.
Gli esperti di cyber security di MalwareHunterTeam: Le credenziali rubate non vengono conservate su database, ma su una casella ad hoc creata per la singola campagna.
Il malware chiede riscatti astronomici (fino a 50 Bitcoin, 276.000 euro) alle aziende. Ha legami con Hermes, usato da Lazarus, ed evade i software sudcoreani.
Il CERT Nazionale italiano: Il malware viene distribuito come RaaS sul Dark Web senza richiedere pagamenti. Anzi si offrono premi a chi lo migliorerà. Le richieste di riscatto vanno da 500 a 1.500 dollari.