Gli esperti del CERT-AgID, in collaborazione con la Vigilanza AgID e il supporto dei Gestori PEC, hanno individuato una campagna malware sLoad che, a differenza delle precedenti, utilizza una nuova tecnica per eludere i controlli sulle estensioni dei file (non permessi per le PEC) contenuti negli archivi compressi ZIP allegati ai messaggi di posta certificata.
Il file originale presente nell’archivio ZIP è denominato “fisc.vbs.” con un punto ed uno spazio finale. Dopo l’estrazione su una macchina Windows, utilizzando il decompressore standard di sistema, il nome del file viene automaticamente ripulito dal punto e da tutti gli spazi a seguito diventando così “fisc.vbs “, pronto per essere eseguito con un doppio click.
Gli esperti hanno rilevato che tale tecnica è stata utilizzata il 29 giugno per veicolare tramite PEC allegati ZIP contenenti un file VBS malevolo il cui scopo è quello di scaricare sLoad tramite bitsadmin.
Questo nuovo metodo non funziona soltanto sulle PEC: sfruttandolo è possibile eludere qualsiasi servizio di posta elettronica che effettui controlli sulle estensioni dei nomi file presenti all’interno di archivi compressi.
Il sistema interessato è Windows. Solo il software di decompressione che Windows utilizza di default e WinRar, infatti, troncano il punto e gli spazi a seguito dell’estensione. Per chi utilizza 7-Zip su Windows invece, il punto e gli spazi vengono rinominati con un underscore: “fisc.vbs.” diventerebbe quindi “fisc.vbs__” e, di conseguenza, non potrebbe essere eseguito con un classico “doppio click”.
Dai primi test effettuati dal CERT-AgID, i tool di decompressione per ambienti Linux e MacOS non sono interessati.
Questa tecnica funziona con tutte le estensioni di file, EXE compresi, a patto che siano contenuti all’interno di un archivio ZIP.
La campagna sLoad è stata prontamente contrastata: il CERT-AgID sta attivamente collaborando con i Gestori PEC al fine di mettere in atto le soluzioni più adeguate a identificare questo genere di minaccia.
https://cert-agid.gov.it/news/sload-elude-controlli-estensioni-file-negli-archivi-zip-via-pec/