I ricercatori di Bitdefender Antispam hanno scoperto una campagna di phishing dannosa che tentava di infettare i destinatari con un noto data stealer a tema Omicron COVID-19.
Il messaggio generico menziona una richiesta di revisione delle informazioni sulla spedizione presente in un allegato di una fattura proforma. Nella e-mail, gli aggressori citano nuove politiche governative in risposta alla variante Omicron e non offrono altre informazioni ai destinatari.
“Si prega di trovare PI in allegato. Ancora in attesa di conferma della nave. Si prega di notare che il governo ha adottato una nuova politica in risposta all’epidemia del ceppo OMICRON COVID-19. I documenti verranno inviati dopo la conferma finale”, si legge nell’e-mail.
L’allegato presente nella e-mail (P-INV DeC-21 PO-409865-00454357527018_pdf.arj) contiene GuLoader, un downloader di Trojan ad accesso remoto (RAT) noto soprattutto per le sue capacità anti-VM per eludere il rilevamento.
In questo attacco, i criminali informatici utilizzano GuLoader per diffondere FormBook, un popolare data stealer noto per la raccolta di credenziali di accesso e dati bancari sui moduli web.
Gli aggressori si spacciano per un’azienda con sede in Indonesia che produce prodotti di imballaggio per diffondere il malware di acquisizione di moduli. Oltre il 90% delle e-mail dannose proviene da indirizzi IP negli Stati Uniti e dalla telemetria si evince un chiaro focus sugli obiettivi con sede in Asia. Tuttavia, la campagna si è diffusa a livello globale e in tutta Europa, inclusi Regno Unito, Germania e Paesi Bassi.
