I ricercatori di Malwarebytes hanno scoperto una campagna che sfrutta esche di tipo aziendale, come ad esempio un annuncio di lavoro, per diffondere malware, tra cui un trojan di accesso remoto, che infetta i dispositivi delle vittime. Un pericolo alquanto elevato sia per aziende che per utenti privati che potrebbero trovarsi davanti a una situazione alquanto difficile.
Questa volta però non si tratta dei soliti messaggi WhatsApp o delle solite email di phishing. Non si tratta nemmeno delle ormai conosciute pagine di download fraudolente. Gli esperti hanno spiegato che i cybercriminali stanno sfruttando Google Forms per avviare la catena di infezione. Ecco perché questi attacchi hanno un potenziale elevato e particolarmente distruttivo.
Malwarebytes, nel suo comunicato stampa ufficiale, ha commentato: “L’attacco in genere inizia quando la vittima scarica un file ZIP a tema aziendale tramite un link presente in un modulo Google. Al suo interno si trova un file dannoso che innesca un processo di infezione a più fasi, installando infine un malware sul sistema“.
PureHVNC: il malware innescato da un annuncio di lavoro
Il malware PureHVNC innescato da un annuncio di lavoro fraudolento che sfrutta Google Forms è un trojan RAT modulare per .NET che appartiene alla famiglia di malware “Pure”. Gli esperti dell’azienda di sicurezza informatica hanno dichiarato che “consente agli aggressori di ottenere il controllo remoto di un dispositivo infetto e di rubare informazioni sensibili“. Quando viene installato sul dispositivo può:
- assumere il controllo del sistema eseguendo comandi da remoto;
- raccogliere informazioni sul dispositivo infettato;
- rubare dati dal browser, estensioni e portafogli di criptovalute;
- estrarre dati da app di messaggistica istantanea e email;
- installare plugin aggiuntivi.
Indicatori di compromissione
Malwarebytes ha pubblicato gli indicatori di compromissione che identificano il malware PureHVNC diffuso tramite l’annuncio di lavoro falso.
- IP
- 207.148.66.14
- URL
- https://goo[.]su/CmLknt7
- https://www.fshare[.]vn/file/F57BN4BZPC8W
- https://tr[.].ee/R9y0SK
- https://dl.dropbox[.]com/scl/fi/52sgtk50j285hmde2ycry/Overview-of-the-MSI-Accounting-Project.rar?rlkey=9qmunvcp8oleeycld08gqwup9
- HASH
- ca6bd16a6185c3823603b1ce751915eaa60fb9dcef91f764bef6410d729d60b3
- d6b7ab6e5e46cab2d58eae6b15d06af476e011a0ce8fcb03ba12c0f32b0e6386
- e7b9f608a90bf0c1e477a28f41cb6bd2484b997990018b72a87268bf46708320
- e221bb31e3539381d4753633443c1595bd28821ab6c4a89ad00ea03b2e98aa00
- 7f9225a752da4df4ee4066d7937fe169ca9f28ecddffd76aa5151fb72a57d54b
- e0ced0ea7b097d000cb23c0234dc41e864d1008052c4ddaeaea85f81b712d07c
- b18e0d1b1e59f6e61f0dcab62fecebd8bcf4eb6481ff187083ea5fe5e0183f66
- 85c07d2935d6626fb96915da177a71d41f3d3a35f7c4b55e5737f64541618d37
- b78514cfd0ba49d3181033d78cb7b7bc54b958f242a4ebcd0a5b39269bdc8357
- fe398eb8dcf40673ba27b21290b4179d63d51749bc20a605ca01c68ee0eaebbc
- 1d533963b9148b2671f71d3bee44d8332e429aa9c99eb20063ab9af90901bd4d
- c149158f18321badd71d63409d08c8f4d953d9cd4a832a6baca0f22a2d6a3877
- 83ce196489a2b2d18a8b17cd36818f7538128ed08ca230a92d6ee688cf143a6c
- ea4fb511279c1e1fac1829ec2acff7fe194ce887917b9158c3a4ea213abd513a
- 59362a21e8266e91f535a2c94f3501c33f97dce0be52c64237eb91150eee33e3
- a92f553c2d430e2f4114cfadc8e3a468e78bdadc7d8fc5112841c0fdb2009b2a
- 4957b08665ddbb6a2d7f81bf1d96d252c4d8c1963de228567d6d4c73858803a4
- 481360f518d076fc0acb671dc10e954e2c3ae7286278dfe0518da39770484e62
- 8d6bc4e1d0c469022947575cbdb2c5dd22d69f092e696f0693a84bc7df5ae5e0
- 258adaed24ac6a25000c9c1240bf6834482ef62c22b413614856b8973e11a79f
