L’allegato zip all’interno di una falsa mail sulle agevolazioni fiscali contiene un file HTA, che usa bitsadmin per scaricare la dll e avviare l’infezione del malware.
Il file HTA nell’allegato per contattare gli url e scaricare la dll, avviando l’infezione del malware, in un caso esegue una PS e nell’altro usa bitsadmin.
L’allegato contiene un file HTA o VBS, che esegue una PS e contatta un primo url, che ne contatta un secondo e scarica la dll, avviando l’infezione del malware.
La mail contiene 3 allegati zip con file vbs diversi, che eseguono la stessa powershell e contattano i medesimi link per scaricare la dll, avviando l’infezione del malware.