{ "cbdb16e6-38eb-485d-9b6b-e369b9ef21cb": { "event_id": 10562, "created_at": "2021-01-05T17:59:48.340101+00:00", "updated_at": "2021-01-05T17:59:48.394325+00:00", "name": "Campagna a tema cashback di stato diffonde RAT, keylogger e infostealer", "description": "Un'e-mail in italiano invita l'utente a scaricare un PDF per sanare la sua posizione finanziaria al fine di ottenere il cashback di stato. Il link fa scaricare un file ZIP che contiene un eseguibile VB6. Si tratta di un infostealer e RAT che si appoggia su un FTP di altervista.org. Questo malware scarica un secondo modulo che risulta essere un keylogger (inclusa la clipboard).", "subject": "RICHIESTA COMPILAZIONE MODULO", "tlp": "0", "campaign_type": "malware", "method": "linked", "country": "italy", "file_type": [ "zip", "exe" ], "theme": "Cashback", "malware": "sysC32cmd", "phishing": null, "tag": [], "ioc_list": { "md5": [ "4e302872ffb892305216297f2cee002f", "46f6d40a87b99f26e63e3324a95c6eef", "01ab5c3c78bca1b0af3d630437082496" ], "sha1": [ "afe5b97603f260abb36937373e587471ea4eddf0", "5b9165cbc9751502caf13eeac377a03864e7714e", "98a3bb4529e30b27d11cc714b1b7ab9fbd8c4d26" ], "sha256": [ "500631db833b2729f784e233225621ddff411d7da49bd82cfd51a49b9600438f", "646dbe5de074ba301f2e2eccd9ccbb9b58c86dafc69cbf00ecd7fe9365f8f1f2", "20c01baa06751d53b7925ef99668375e891bdfe452c27d14c2349b365daaa1d9" ], "imphash": [], "domain": [ "failaspesa.altervista.org", "ffaadd332211.altervista.org" ], "url": [ "https://bit.ly/3naIYxK", "http://www.studiocpv.it/dealerfree/ModuloCitrixTelecomDaCompilare.pdf.zip" ], "ipv4": [], "email": [] }, "email_victim": [], "ioca_version": "1.0", "organization": "cert-agid" } }