L’allegato zip della mail contiene un vbs che contatta un link da una lista di 2 e scarica la dll, avviando l’infezione del malware. Solo da IP italiani.
L’allegato della mail, a volte una reale conversazione rubata, contiene uno zip con un xlsb, che contatta 1 dei 3 url e scarica la dll. Al momento, però, è inattiva.
Gli esperti di cybersecurity di CERT-AgID: All’interno dell’allegato zip ci sono 3 file di cui uno è un loader .wsf. Questo contiene il dropper per il download del malware.
Il file xlsb nell’allegato zip, creato con EtterSilent, contatta 3 url e scarica la dll, avviando l’infezione del malware. Ma solo se gli IP non sono in blacklist.
L’allegato zip contiene 2 file ExcelAddin: uno a 32 e l’altro a 64 bit. Questi sfruttano Excel per scaricare la dll da un unico url (solo da IP italiani) e avviare l’infezione del malware.
L’allegato xls della mail contatta un unico link e scarica la dll, avviando la catena d’infezione del malware. Ma solo da IP italiani e non in blacklist.