Gli esperti del CERT-AGID hanno pubblicato un avviso relativo a una campagna malspam in corso che sta utilizzando il malware Formbook contro privati e Pubbliche Amministrazioni. Il malware non è cambiato ma è cambiata la tecnica di diffusione.
Finora Formbook ha agito principalmente tramite allegati ZIP, RAR, ISO, IMG, etc. Adesso, per la prima volta l’email per veicolare Formbook riporta in allegato un file HTML contenente un JS leggermente offuscato che viene eseguito all’apertura del file HTML. Il codice JS esegue l’unescape del contenuto che cela una piccola porzione di codice HTML utile a creare una finta pagina di download del servizio Wetransfer, mentre il resto è codificato in base64.
I link presenti nella pagina HTML che viene visualizzata all’apertura dell’allegato (un file con doppia estensione .PDF.html), non sono collegamenti a Wetransfer. Ad ogni click viene ricaricata la stessa pagina e restituito in download un file .EXE.
L’intento è di far aprire alla vittima il documento PDF (un file con doppia estensione MR-KFIP-M-13878-NEW_ORDER_1400600902634-07.04.20211620.PDF.exe) credendo di averlo correttamente scaricato dal servizio Wetransfer.
Il CERT-AGID ha già condiviso gli IoC attraverso le proprie piattaforme per favorirne la diffusione.