Il CERT-AGID ha reso noto e contrastato una nuova campagna massiva volta a veicolare tramite PEC il malware sLoad. La campagna è stata riscontrata per la prima volta nel 2023 a distanza di 6 mesi.

L’e-mail, che dalle prime ore del mattino è stata recapitata a numerose caselle di posta elettronica certificata, fa riferimento a una fantomatica fattura   non saldata per la quale viene richiesto il pagamento, invitando i destinatari a cliccare sul link presente nel corpo del messaggio al fine di “scaricare la fattura”.

Il file ottenuto è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs. Quest’ultimo utilizza ancora una volta bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.

Nel frattempo, l’indirizzo IP della vittima e il nome della macchina compromessa vengono censiti su un server differente.

Non avendo potuto ottenere il payload finale non è stato possibile verificare eventuali variazioni rispetto alle campagne precedenti, spiegano gli esperti del CERT-AGID.

Azioni di contrasto

  • Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
  • Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.

Il CERT-AgID invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, è possibile inoltrare l’e-mail a malware@cert-agid.gov.it

https://cert-agid.gov.it/news/nuova-campagna-sload-diffusa-via-pec/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE