Исследователи из CERT Agid обнаружили активную вредоносную кампанию, направленную против пользователей в Италии. Атака была зафиксирована 10–11 июня 2025 года и использует троян Remcos, который распространяется через электронные письма с вложениями в формате ZIP. Злоумышленники применяют социальную инженерию, отправляя сообщения с темой "AV: Avviso di pagamento" ("Уведомление о платеже"), чтобы побудить жертв открыть вредоносный файл.
Описание
Аналитики отмечают, что в атаке используется тег "ModiLoader", что может указывать на многоэтапный процесс заражения. Основной целью злоумышленников, по всей видимости, является финансовый ущерб: троян Remcos позволяет похищать учетные данные, выгружать конфиденциальные данные и получать полный удаленный контроль над зараженными системами.
Эксперты рекомендуют пользователям проявлять бдительность при работе с вложениями в электронной почте, особенно если письма содержат подозрительные темы или запросы на срочные действия. Для защиты от подобных атак также важно использовать актуальные антивирусные решения и регулярно обновлять программное обеспечение.
Индикаторы компрометации
Domains
- irritaspec.xyz.parsvana-grp.biz
MD5
- 46685dc376f1d6bd12fa83e9d4627041
- 67e21c531854a8de015478a0dfd2f330
- 8bd7e096006b6c7e91fee17860040ee3
- 9a020804eba1ffac2928d7c795144bbf
SHA1
- 02deb63d3ef382da6654e29cac5a0e1561741218
- 27d055a1d4c826f1cf93fa65d53f657349d62b42
- 61fdc4135afdc99e106912aeafeac9c8a967becc
- cdcabd154834d04b1a00515d5df18f452e95cbfb
SHA256
- 409b531641718cc8dc421f51d208a7c907df426986bff09f01b4cfadf2d3b763
- a86c6c7a2bf9e12c45275a5e7ebebd5e6d2ba302fe0a12600b7c9fdf283d9e63
- b30b6005e728e35861d0ac98913d85d6cb8a70c13fc8b03ad18eb9bd248ee9e1
- c6a3d68758dcfb13b9abd36a01e0436ffae01aeb4171d49d0c681aec23c23aa5