Possibile campagna di malspam italiana (Zaratustra)

20/03/2020

infostealer malspam rat

Il CERT-PA ha rilevato una possibile campagna di malspam, in italiano, in cui sono veicolate e-mail con allegati XLS di come “Doc n. XXXX_XX.xls“. Il corpo dell’e-mail fa riferimento all’allegato come ad un documento fiscale.

Zaratrusta

All’interno del documento è presente del codice malevolo che avvia la catena di infezione.
Il malware eseguito (di cui non ci è nota la famiglia e che chiameremo Zaratustra per semplicità) esfiltra alcune informazioni per l’identificazione dell’utente (nome computer, programmi in esecuzione e simili) e può scaricare componenti aggiuntivi.

Al momento il componente scaricato consente agli attaccanti di controllare il computer della vittima da remoto, dando loro accesso a ciò che è mostrato nello schermo e a mouse e tastiera.

Indicatori di compromissione

  • IoC (.txt) – Hash, Domini, IP