Scoperta nuova campagna malware della variante RAT

Gli esperti di sicurezza di Fortinet hanno pubblicato un’analisi di questa nuova variante. La campagna prende il via con un’e-mail di phishing che finge di provenire da un dominio valido. Il corpo dell’email è un avviso di pagamento, una tecnica di ingegneria sociale per convincere le vittime ad accedere al file ZIP allegato.

Secondo l’analisi, lo script PowerShell esegue queste attività in ordine sequenziale dopo che è stato eseguito.

1. Memorizza la stringa “.exe” in una variabile codificata in base64, che viene quindi decodificata e memorizzata.
2. Genera il percorso assoluto del file eseguibile appena generato concatenando il parametro precedentemente ricevuto, la cartella pubblica del sistema e una stringa casuale generata per il nome del file.
3. Decodifica un file eseguibile codificato base64 archiviato in una variabile e quindi scrive tutti i byte nel file eseguibile.
4. Eseguire un controllo dell’estensione del file.
5. Avviare il file via cmdlet PowerShell “Avvia processo”.