Gli esperti del CSIRT-Italia denunciano una nuova campagna malspam che sta prendendo di mira utenze italiane per distribuire il malware Formbook tramite messaggio di malspam.
L’esca della mail è il riferimento a un nuovo ordine (“New ORDER.xlsx”): la mail contiene un documento di Microsoft Office Excel (formato XLSX) contenente una macro VBA (Visual Basic Application) malevola. Se attivata, avvia l’esecuzione di codice PowerShell, oltre ad alcune connessioni che portano al download del payload del malware.
“Formbook appartiene alla famiglia degli infostealer e si caratterizza per un’estrema semplicità di utilizzo: può, infatti, essere adoperato anche da attaccanti con scarse competenze tecniche e di programmazione.
È scritto nei linguaggi C e Assembly x86, viene distribuito come Malware-as-a-Service (MaaS) e può essere liberamente acquistato su alcuni forum di settore.
Nonostante la sua semplicità d’uso, presenta funzionalità avanzate, tra cui:
- esfiltrazione di dati
- screenshot delle schermate visualizzate dall’utente
- adozione di misure utili a evadere la detection”.
Gli esperti di cyber security sottolineano che viene solitamente distribuito tramite campagne e-mail di spam per mezzo di allegati malevoli in formato PDF, DOC, ZIP, EXE, RAR, ISO e ACE.
https://csirt.gov.it/contenuti/campagna-di-malspam-distribuisce-formbook-al01-200705-csirt-ita