{"id":3375,"date":"2021-11-15T15:55:13","date_gmt":"2021-11-15T15:55:13","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3375"},"modified":"2023-09-16T11:00:33","modified_gmt":"2023-09-16T11:00:33","slug":"call-me-back-i-cybercriminali-sfruttano-windows-10-per-la-diffusione-dei-malware","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/call-me-back-i-cybercriminali-sfruttano-windows-10-per-la-diffusione-dei-malware\/","title":{"rendered":"\u201cCall me back\u201d: i cybercriminali sfruttano Windows 10 per la diffusione dei malware"},"content":{"rendered":"\n<p class=\"wp-block-image\">Recentemente \u00e8 stata individuata una campagna di <strong>malspam<\/strong> che sfrutta un nuovo meccanismo per la diffusione di malware: file di tipo <strong>appxbundle <\/strong>(utilizzato da Windows 10 App Installer &#8211; <a href=\"https:\/\/news.sophos.com\/en-us\/2021\/11\/11\/bazarloader-call-me-back-attack-abuses-windows-10-apps-mechanism\/\">report<\/a>).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Descrizione dell&#8217;attacco<\/h3>\n\n\n\n<p>Nelle campagne malware trattate nel report, l\u2019oggetto della mail contiene il nome&nbsp; del destinatario seguito da \u201cCall me back\u201d. Nel testo della mail viene riportato un messaggio simile al seguente:<em><\/em><\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"747\" height=\"280\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/11\/image-21.png\" alt=\"\" class=\"wp-image-4046\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-21.png 747w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-21-300x112.png 300w\" sizes=\"(max-width: 747px) 100vw, 747px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<p>Il link malevolo della mail porta all&#8217;apertura di una pagina web chiamata &#8220;AdobeView&#8221; contenente un pulsante per la preview del file PDF.<\/p>\n\n\n\n<p>Al click della &#8220;Preview&#8221; viene invece richiamato lo strumento <strong>AppInstaller.exe<\/strong>, utilizzato da Windows Store per scaricare ed eseguire qualsiasi cosa si trovi alla fine del link:<\/p>\n\n\n\n<p>Il programma di installazione scarica ed esegue il file &#8220;<strong>Adobe_1.7.0.0_x64.appx<\/strong>&#8221; il quale contiene i comandi per l&#8217;installazione del malware <strong>Bazaloader <\/strong>sul sistema della vittima.<\/p>\n\n\n\n<p><span>Questo sample di Bazaloader comunica con i server di comando e controllo attraverso l&#8217;utilizzo dei <\/span><strong>Coockies.<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Indicatori di Compromissione &#8211; IOC<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li> Adobe_1.7.0.0_x64.appx <ul><li>sha-256 a5ce2bdd42fb0c9f51e218c879cc1d492a02cc096b3f0776482c98a63f6a3061<\/li><\/ul><\/li><li>URL del dropper del file appx <ul><li>adobeview.z13.web.core.windows.net\/report.html <\/li><\/ul><\/li><li>C2<ul><li> dfgerta.com\/segment\/billion <\/li><li>  hastrama.com\/segment\/billion <\/li><\/ul><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Recentemente \u00e8 stata individuata una campagna di malspam che sfrutta un nuovo meccanismo per la diffusione di malware: file di tipo appxbundle (utilizzato da Windows 10 App Installer &#8211; report). Descrizione dell&#8217;attacco Nelle campagne malware trattate nel report, l\u2019oggetto della mail contiene il nome&nbsp; del destinatario seguito da \u201cCall me back\u201d. Nel testo della mail [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":4049,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1583,1585],"class_list":["post-3375","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-bazarloader-it","tag-cookies-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3375"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3375\/revisions"}],"predecessor-version":[{"id":4064,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3375\/revisions\/4064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4049"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}