Recentemente è stata individuata una campagna di malspam che sfrutta un nuovo meccanismo per la diffusione di malware: file di tipo appxbundle (utilizzato da Windows 10 App Installer – report).

Descrizione dell’attacco

Nelle campagne malware trattate nel report, l’oggetto della mail contiene il nome  del destinatario seguito da “Call me back”. Nel testo della mail viene riportato un messaggio simile al seguente:

Il link malevolo della mail porta all’apertura di una pagina web chiamata “AdobeView” contenente un pulsante per la preview del file PDF.

Al click della “Preview” viene invece richiamato lo strumento AppInstaller.exe, utilizzato da Windows Store per scaricare ed eseguire qualsiasi cosa si trovi alla fine del link:

Il programma di installazione scarica ed esegue il file “Adobe_1.7.0.0_x64.appx” il quale contiene i comandi per l’installazione del malware Bazaloader sul sistema della vittima.

Questo sample di Bazaloader comunica con i server di comando e controllo attraverso l’utilizzo dei Coockies.

Indicatori di Compromissione – IOC

  • Adobe_1.7.0.0_x64.appx
    • sha-256 a5ce2bdd42fb0c9f51e218c879cc1d492a02cc096b3f0776482c98a63f6a3061
  • URL del dropper del file appx
    • adobeview.z13.web.core.windows.net/report.html
  • C2
    • dfgerta.com/segment/billion
    • hastrama.com/segment/billion

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]