Lo scorso 13 ottobre il CERT-AGID ha rilevato una campagna malware in linuga inglese (ma che ha coinvolto anche caselle di posta italiane) volta a veicolare un nuovo infostealer. La campagna utilizza un loader scritto in VBS che non sembra avere ancora un nome. Negli ultimi mesi questo loader ha fatto il suo debutto anche in campagne italiane (insieme ad IDAT Loader, precedentemente assente nel panorama italiano).

Questa settimana una email con oggetto “Bonifici (SWIFT)” ha raggiunto le caselle di posta di diversi utenti italiani con una comunicazione che apparentemente sembra provenire dall’Istituto di Credito Relax Banking e che mostra nel corpo del messaggio l’anteprima miniaturizzata di due file PDF. Le vittime sono quindi spinte a cliccare su tali anteprime con l’intenzione […]

L’Italia è attualmente sotto l’attacco di questo malware: dalle nostre attività di monitoraggio abbiamo osservato che i cybercriminali stanno tutt’ora operando assiduamente e meticolosamente per rendere Flu Bot ancora più pericoloso.

I primi comandi che il C2 di Flu bot invia alla vittima riguardano l’upload della rubrica e degli SMS.
E’ molto probabile che l’intento di Flu bot sia quello di raccogliere dati e contatti delle vittime per rivenderli o usarli per ragioni di spionaggio. L’esclusione dei paesi della ex-URSS è indice di un APT russo che segue il codice di condotta che obbliga eticamente alla collaborazione con il proprio governo.

Il malware ha parametrizzato varie funzionalità che prima erano implementate ad hoc per ogni paese target, consentendo agli autori di usare un unico file APK per più paesi (semplificando e velocizzando quindi la pianificazione delle campagne).

In questi giorni il CERT-AGID ha rilevato una campagna malware per dispositivi Android che utilizza SMS per veicolare Flu bot 3.9. “Flu Bot” (il nome reale è tutto unito, il motivo è spiegato più avanti) è un malware già diffuso al di fuori dall’Italia, in particolare in Spagna, Germania e Ungheria. Il giorno dopo la […]

Due giorni fa abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android.Non avendo trovato riscontro circa l’identità di questo malware, lo abbiamo battezzato Oscorp, dal titolo della pagina di login del suo C2. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android […]