Il CERT-AGID ha reso noto e contrastato una nuova campagna massiva volta a veicolare tramite PEC il malware sLoad. La campagna è stata riscontrata per la prima volta nel 2023 a distanza di 6 mesi.
L’e-mail, che dalle prime ore del mattino è stata recapitata a numerose caselle di posta elettronica certificata, fa riferimento a una fantomatica fattura non saldata per la quale viene richiesto il pagamento, invitando i destinatari a cliccare sul link presente nel corpo del messaggio al fine di “scaricare la fattura”.
Il file ottenuto è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs. Quest’ultimo utilizza ancora una volta bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.
Nel frattempo, l’indirizzo IP della vittima e il nome della macchina compromessa vengono censiti su un server differente.
Non avendo potuto ottenere il payload finale non è stato possibile verificare eventuali variazioni rispetto alle campagne precedenti, spiegano gli esperti del CERT-AGID.
Azioni di contrasto
- Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
- Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.
Il CERT-AgID invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, è possibile inoltrare l’e-mail a malware@cert-agid.gov.it
https://cert-agid.gov.it/news/nuova-campagna-sload-diffusa-via-pec/
