Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.
L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.
**** 190 SERVIZIO CLIENTI Vodafone ****
Gentile Cliente,
provvediamo all’invio della copia conforme all’originale della fattura come da Sua richiesta.La informiamo che non e’ possibile rispondere
direttamente a questa mail effettuando il Reply.
La invitiamo pertanto, se desidera scriverci
nuovamente, ad entrare nel sito:http://www.vodafone.it.
Cordiali Saluti,
Servizio Clienti Vodafone
Il payload scaricato è della famiglia dei DanaBot e la campagna è decisamente similare all’invio di false fatture generiche di cui vi abbiamo parlato recentemente in questo articolo.- 193.222.135[.]148
- 213.182.238[.]21
- 193.222.135[.]142
- 193.222.135[.]158
- 193.222.135[.]145
- 193.222.135[.]175
- 193.222.135[.]140
- driverssoftware[.]info
- pingservhost[.]info
- FAKTURA-F_4034890.vbs: f677febc3882d0094127892c187c3a12c676336777c18915dc1fd26c80690dfe
L’articolo Falsa fattura Vodafone Italia veicola un malware! proviene da D3Lab.