| Undefined
Il trojan bancario è al centro di una nuova campagna di phishing che utilizza come esca l’Agenzia delle Entrate.Le vittime ricevono un’email che sembra provenire dall’istituto in cui si dispone l’immediata presa visione di un file .xls protetto da password “agenzia” che viene fornita nel testo della mail.Una volta aperto il file, questo si connette ad un link dal quale viene scaricata una DLL che darà il via alla catena di infezione.La campagna è rivolta esclusivamente contro l’Italia, la DLL infatti si scarica solo da IP italiani.IOC:
livesystems[.]casa/installa.dlll
ivesystems[.]casa|45.135.134.151
windowstats[.]com|185.98.87.235
windowstats[.]com|31.41.44.115
gstat.ausagistment[.]com|51.210.87.64
gstat.ausagistment[.]com|185.98.87.235
livesystems[.]cyou/installa.dll
blogilive[.]casa/installa.dll
livesystems[.]bar/installa.dll
livesystems[.]bar|45.144.3.58
livesystems[.]cyou|45.136.245.70
blogilive[.]casa|109.248.203.187
agenzia1_76.xls|865d8d9e76a49cb077145a42b8b818da
agenzia1_76.xls|c0e402d8f28e47a084669fc2515621f47b0add37
installa.dll|2acdb2399a8ca54b25252c9091ec9eca
installa.dll|fa616e8b2fc9a3f5814e60cf5cdc4db40d628ad3c1677c6271110c10be7d3dec