RAT Remcos veicolato attraverso finte e-mail della dogana.it

21/08/2019

malware remcos

Nella prima mattinata di oggi è stata individuata un’e-mail di malspam con finto mittente SERVIZIO DOGANALE ITALIA.

L’e-mail è veicolata tramite canale di posta ordinaria ed è indirizzata ad un pubblico italiano (sebbene la grammatica non sia perfetta). Di seguito uno screenshot:

Il mittente è un indirizzo spoofato, l’e-mail risulta infatti transitata da un server romeno bursa.ro.

E’ presente un allegato denominato “ELENCO DEI CONTRABANDI PERSONALIZZATI.PDF.R00″, si tratta di un archivio RAR che contiene un file eseguibile con lo stesso nome.

Il file eseguibile è un packer AutoIT che ha come payload il noto malware Remcos, il cui scopo è quello di consentire agli attaccanti di prendere possesso del computer della vittima.

Indicatori di compromissione

  • IoC (.txt) – Domini, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr