Gli esperti avvisano che è in corso anche in Italia una campagna Remcos via DBatLoader/Modiloader il cui allegato contiene un exe: il loader, che contatta un url e scarica il malware finale.
Remcos è un Remote Access Trojan (RAT) associato soprattutto a campagne phishing a tema corriere e con un’ampia gamma di funzionalità: come il monitoraggio da vicino delle attività degli utenti, la registrazione dei contenuti audio e video, l’acquisizione di credenziali, il furto di valuta digitale, il download di payload aggiuntivi e l’esfiltrazione di dati riservati evitando il rilevamento e le sandbox.
In questa campagna in corso anche in Italia, Remcos viene veicolato passando per DBatLoader (alias ModiLoader e NatsoLoader) dall’email con oggetto “RE: NEW SHIPMENT DOCS TO DENMARK, KS/29/2022-23 JOB NO@2061”.
L’email contiene un allegato rar che contiene un xz, ossia il loader stesso, che contatta un url e scarica il malware finale.