È in corso una massiccia campagna di malspam volta a veicolare una variante del malware sLoad verso le caselle PEC di organizzazioni italiane operanti nell’ambito di settori diversi.
L’oggetto dell’e-mail e la struttura del link presente nel corpo del messaggio sono dinamici. Le campagne di cui al momento si è a conoscenza sfruttano il tema “Pagamenti” e riportano una tra le seguenti diciture:
- Lettera di sollecito pagamento fattura
- Pagamento in ritardo di fattura
- Ultimo sollecito di pagamento
- Ritardo nel pagamento fattura
- Primo sollecito di pagamento
Il link proposto per visualizzare la fattura punta a un dominio di recente registrazione (04/10/2022), ospitato su Namecheap, da cui viene scaricato un file ZIP protetto da password (non fornita) e contenente un file DOCX.
Gli esperti del CERT-AgID hanno osservato che gli autori dietro questa campagna sembrano aver commesso un errore dimenticando di fornire ai destinatari la password per estrarre il contenuto del file ZIP. Questa svista ha finora evitato che le vittime venissero compromesse. Questa non è la prima volta che gli autori di campagne malevole commettono errori simili.
Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC. Il dominio è stato sospeso da Namecheap e gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.
Il CERT-AgID invita a prestare sempre attenzione a questo genere di comunicazioni.
https://cert-agid.gov.it/news/nuova-campagna-sload-in-atto-su-caselle-pec/