Articoli

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere