• 18.327 username
• 1.793 password
• dati digitati via tastiera (rubati attraverso un keylogger)

• enav.it
• istruzione.it
• gdf.it
• bancaditalia.it
• camera.it
• senato.it
• esteri.it
• tesoro.it
• finanze.it
• interno.it
• istut.it
• matteorenzi.it
• partitodemocratico.it
• pdl.it
• cisl.it
• comune.roma.it
• regione.campania.it
• regione.lombardia.it
• unibocconi.it

Come?

• Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API di MailBee.NET.dll(una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
• Compromette (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
• Si collega alla rete Tor (per quanto informazione poco utile, l'unico exit node noto è 37.49.226[.]236)
• Attraverso un mail server (tra quelli noti c'è il mail server di Aruba 62.149.158[.]90) invia delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c'è chi sostiene che si tratti di un PDF: fonte non certa)
• Attende che le vittime aprano gli allegati, avviando quindi il malware
• Il malware invia i dati sottratti verso diverse caselle di posta gestite dall'aggressore

Dettagli

• gpool@hostpenta[.]com
• hanger@hostpenta[.]com
• hostpenta@hostpenta[.]com
• ulpi715@gmx[.]com — incerto

• purge626@gmail[.]com
• tip848@gmail[.]com
• dude626@gmail[.]com
• octo424@gmail[.]com

• antoniaf@poste[.]it
• mmarcucci@virgilio[.]it
• i.julia@blu[.]it
• g.simeoni@inwind[.]it
• g.latagliata@live[.]com
• rita.p@blu[.]it
• b.gaetani@live[.]com
• gpierpaolo@tin[.]it
• e.barbara@poste[.]it
• stoccod@libero[.]it
• g.capezzone@virgilio[.]it
• baldarim@blu[.]it
• ?.elsajuliette@blu[.]it
• dipriamoj@alice[.]it
• izabelle.d@blu[.]it

• lu_1974@hotmail[.]com

• eyepyramid[.]com
• hostpenta[.]com
• ayexisfitness[.]com
• enasrl[.]com
• eurecoove[.]com
• marashen[.]com
• millertaylor[.]com
• occhionero[.]com
• occhionero[.]info
• wallserv[.]com
• westlands[.]com

• hostpenta[.]com/contacts
• westlands[.]com/Web/Sites/hostpenta[.]com

• 217.115.113[.]181 (Irlanda)
• 216.176.180[.]188 (Seattle, Washington, Stati Uniti)
• 65.98.88[.]29 (Clifton, New York, Stati Uniti)
• 199.15.251[.]75 (Baltimore, Maryland, Stati Uniti)
• 216.176.180[.]181 (Seattle, Washington, Stati Uniti)

• InfoPyramid.accdb — database trovato su hostpenda[.]com contenenente i dati esfiltrati
• hiwater.mrk
• smtps.xml
• graph.bak
• tasks.xml
• alerts.txt

• Visual Studio (software usato per compilare "Eye Manager," questo sarebbe il nome del software di gestione)
• Hangeron (modulo)
• Mailfaker (modulo)
• fHangeron.Menu.Web.vb (file)
• m.Core.vb (file)
• cEmailJob.vb (file)
• mWakeUP.vb
• ds1 (variabile)
• ms1 (variabile)
• dc1 (variabile)
• ds2 (variabile)
• ms2 (variabile)
• dc2 (variabile)

• MDaemon
• MailDemon (interessante: un tecnico avrebbe usato "MailDaemon", salvo che non si tratti di un errore di trascrizione)
• InfoPyramid
• MN600–849590C695DFD9BF69481597241E-668C (chiave di licenza del componente .NET MailBee)
• MN600–841597241E8D9BF6949590C695DF-774D (chiave di licenza del componente .NET MailBee)
• MN600–3E3A3C593AD5BAF50F55A4ED60F0–385D (chiave di licenza del componente .NET MailBee)
• MN600-AD58AF50F55A60E043E3A3C593ED-874A (chiave di licenza del componente .NET MailBee)
• PCMDPWD (tiro a indovinare: PC Mail Daemon Password?)
• WEBDECCERTPWDNFW.