Il malware sLoad torna a colpire l’Italia con una campagna veicolata, come di consueto, tramite PEC. A distanza di 2 mesi, la campagna in corso è iniziata poco dopo la mezzanotte del 28 giugno ed è stata diffusa a numerose caselle di posta elettronica certificata email.
La mail invita i destinatari a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura. Il file scaricato è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs e viene usato bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.
Una volta avviata l’infezione, l’indirizzo IP ed il nome della macchina della vittima sono registrate sul C2. Come è tipico delle TTP di sLoad, payload aggiuntivi saranno rilasciati successivamente e tipicamente hanno lo scopo di esfiltrare informazioni come le credenziali di posta.
Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC e gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.
Il CERT-AgID ha invitato a prestare sempre attenzione a questo genere di comunicazioni e, nel dubbio, a inoltrare l’email a malware@cert-agid.gov.it
https://cert-agid.gov.it/news/malware/campagna-sload-veicolata-tramite-pec/