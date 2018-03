Roma, 30 mar. (askanews) - Il Cert-PA ha avuto evidenza, nella giornata di ieri, di una campagna di malware spam, veicolata tramite falsa email che sembra provenire da Banca d'Italia, ma in realtà arriva da un server localizzato in Nigeria già noto per precedenti attività malevole. La medesima campagna ha avuto inizio ad ottobre 2017 prendendo di mira target differenti in Europa. Il corpo della mail, si legge in una nota del Cert-PA, riporta un testo in lingua inglese e in calce sono visibili i contatti di Banca d'Italia. Per mezzo della mail si invita l'utente ad aprire il file allegato e di rispondere entro 48 ore dalla ricezione della stessa.Il file allegato presenta una doppia estensione ".pdf.jar" e una volta eseguito rilascia un file ".vbs" contenuto all'interno del sample in forma cifrata. Una volta tradotto in chiaro lo script VBS viene lanciato attraverso il comando cscript. Compito dello script VBS, rilasciato ed eseguito dalla cartella "%Temp%", è quello di enumerare tramite WMI (Windows Management Instrumentation) la presenza di software antivirus di terze parti all'interno della macchina compromessa. Superata questa fase di controllo il malware cerca di garantirsi la persistenza scrivendo un nuovo valore nel registro di sistema alla voce "Run" di HKCU. Successivamente il sample stabilisce una connessione TPC con un server remoto localizzato ad Amsterdam con il quale scambia una serie di pacchetti in forma cifrata. Il campione analizzato ha una detection su VirusTotal di 18/58 ed è classificato come AdWind Java Trojan/Rat (Remote Access Tool), ovvero una backdoor multi-piattaforma e multifunzionale che viene distribuita tramite la tecnica del malware-as-a-service.(Fonte: Cyber Affairs)