È stata osservata una nuova campagna di malware che prende di mira l’Italia con e-mail di phishing progettate per distribuire un information stealer sui sistemi Windows compromessi.
“Il malware info-stealer ruba informazioni sensibili come informazioni di sistema, cronologie del portafoglio cripto e del browser, cookie e credenziali dei portafogli cripto dalle macchine delle vittime”, ha dichiarato in un rapporto il ricercatore di sicurezza di Uptycs Karthickkumar Kathiresan.
I dettagli della campagna sono stati rivelati per la prima volta dalla società di servizi informatici SI.net di Milano il mese scorso. La sequenza di infezione in più fasi inizia con un’e-mail di phishing a tema fattura contenente un link che, una volta cliccato, scarica un file di archivio ZIP protetto da password, che contiene due file: Un file di collegamento (.LNK) e un file batch (.BAT).
Indipendentemente dal file che viene lanciato, la catena di attacco rimane la stessa, poiché l’apertura del file di collegamento recupera lo stesso script batch progettato per installare il payload del ruba-informazioni da un repository GitHub. Ciò avviene sfruttando un binario PowerShell legittimo, anch’esso recuperato da GitHub.
Una volta installato, il malware basato su C# raccoglie metadati di sistema e informazioni da decine di browser web (ad esempio, cookie, segnalibri, carte di credito, download e credenziali), oltre a diversi portafogli di criptovalute, il tutto trasmesso a un dominio controllato dall’attore. Per mitigare tali attacchi, si raccomanda alle organizzazioni di implementare “controlli di sicurezza rigorosi e soluzioni di visibilità e sicurezza a più livelli per identificare e rilevare il malware”.
