Una campagna di phishing sta prendendo di mira ambienti aziendali francofoni usando falsi curriculum inviati via email come esca. Il file allegato sembra un normale documento CV, ma in realta contiene uno script VBScript altamente offuscato che avvia una catena di infezione progettata per rubare credenziali e installare un crypto miner, spesso puntando alla criptovaluta Monero.
Questo tipo di attacco e particolarmente insidioso per la sicurezza informatica aziendale perche combina tecniche di evasione, abuso di servizi legittimi e velocita di esecuzione.
Il dropper in VBScript mostra un messaggio di errore in francese che suggerisce un file corrotto, inducendo l utente ad abbassare la guardia. Nel frattempo lo script esegue controlli per evitare sandbox e ambienti di analisi e innesca un ciclo di richieste UAC per ottenere privilegi amministrativi. Un dettaglio rilevante e la struttura del file: centinaia di migliaia di righe, ma solo una piccola parte e codice reale, il resto sono commenti inutili per gonfiare il file e confondere i sistemi di difesa.
Una volta ottenuti i privilegi elevati, il malware tenta di indebolire le protezioni del sistema. Tra le azioni osservate ci sono modifiche per ridurre l efficacia di Microsoft Defender tramite esclusioni su diversi percorsi e disabilitazioni che favoriscono la persistenza. In seguito scarica archivi 7z protetti da password ospitati su Dropbox, contenenti strumenti per furto dati, persistenza e pulizia delle tracce.
La catena include moduli per sottrarre dati dai browser Chromium aggirando protezioni moderne, insieme a componenti dedicati a Firefox e all esfiltrazione di file dal desktop. Per il mining viene impiegato un eseguibile basato su XMRig che recupera la configurazione da siti WordPress compromessi. Vengono inoltre usati driver legittimi per massimizzare l uso della CPU e un trojan persistente che modifica regole firewall e comunica con server di comando e controllo.
L esfiltrazione delle credenziali avviene anche tramite infrastrutture email SMTP, rendendo il traffico meno sospetto rispetto a canali piu tipici. Dopo il furto, il malware avvia una pulizia aggressiva per ridurre le evidenze forensi, lasciando spesso attivi solo miner e componenti di persistenza. L intera sequenza puo completarsi in circa 25 secondi, con un ulteriore filtro: tramite WMI viene verificata la presenza di un dominio Windows, cosi i payload vengono consegnati soprattutto a macchine enterprise e non a sistemi domestici.