Una campagna di phishing multi fase sta prendendo di mira utenti in Russia distribuendo sia ransomware sia un trojan di accesso remoto chiamato Amnesia RAT. La catena di infezione parte da esche di social engineering veicolate tramite documenti a tema aziendale che sembrano legittimi e di routine. Questi file e gli script allegati funzionano come diversivi visivi, mostrando attivita o messaggi fittizi mentre in background vengono eseguite operazioni malevole senza segnali evidenti.

Uno degli aspetti piu rilevanti e luso coordinato di piu servizi cloud pubblici per ospitare componenti diversi dellattacco. GitHub viene utilizzato soprattutto per distribuire script, mentre i payload binari vengono caricati su Dropbox. La separazione dei contenuti rende piu complesso il takedown e aumenta la resilienza della campagna. Un altro elemento chiave e labuso operativo di defendnot, uno strumento usato per disabilitare Microsoft Defender inducendo il sistema a credere che sia gia presente un altro antivirus registrato nel Windows Security Center.

La distribuzione avviene spesso tramite archivi compressi che includono piu documenti esca e un collegamento Windows LNK con nomi in lingua russa. Il collegamento usa una doppia estensione per sembrare un semplice file di testo. Quando viene aperto, esegue un comando PowerShell che scarica uno script di fase successiva ospitato su GitHub, impiegato come loader iniziale per ottenere un punto dappoggio, preparare lambiente e ridurre la visibilita delle tracce.

Lo script nasconde la finestra di PowerShell, genera un documento esca nella cartella dei dati applicazione dellutente e lo apre automaticamente. In parallelo invia una notifica agli attaccanti tramite Telegram Bot API, segnalando lesecuzione riuscita. Dopo un ritardo intenzionale, viene avviato uno script Visual Basic offuscato che assembla in memoria lo stadio successivo, evitando di lasciare file su disco. In seguito il malware tenta di ottenere privilegi elevati insistendo con richieste UAC.

Una volta ottenuto controllo, la campagna configura esclusioni di Microsoft Defender, disattiva componenti di protezione, usa defendnot per spegnere Defender, effettua ricognizione e sorveglianza con screenshot periodici esfiltrati via Telegram, disabilita strumenti amministrativi tramite registro e applica hijacking di associazioni file per mostrare istruzioni di contatto.

Payload finali principali:

• Amnesia RAT: scaricato da Dropbox, capace di furto dati da browser, wallet crypto e applicazioni di comunicazione, oltre a controllo remoto completo.
• Ransomware (derivato dalla famiglia Hakuna Matata): cifra numerosi tipi di file, termina processi interferenti e puo manipolare indirizzi di wallet nel clipboard per dirottare transazioni, con chiusura tramite WinLocker.