Campagna malspam sLoad veicolata via PEC

27/01/2020

malspam sLoad

A partire dalla serata di domenica 26 gennaio è stata individuata una campagna di malspam che ha coinvolto centinaia di caselle PEC differenti, indirizzata ad utenti privati e pubblici, al fine di veicolare il malware sLoad.

La mail, che ha come oggetto “Copia Cortesia – PDF Fattura Numero RX49712669619“, – ma potrebbe variare il codice “fattura” come dimostra il tweet del ricercatore reecdeep -, riporta in allegato un file compresso (ZIP) all’interno del quale è presente un falso PDF e un file VBS.

Di seguito i file contenuti nella mail:

  • copia-cortesia-fattura-numero-RX49712669619.zip
  • copia-cortesia-fattura-numero-RX49712669619.pdf
  • copia-cortesia-fattura-numero-RX49712669619.vbs

Dall’analisi del codice VBS si evince l’attività di download di un ulteriore file al momento non disponibile sul server di repository.

Indicatori di compromissione

Gli IoC di seguito riportati sono stati notificati alla constituency in formato STIX 2.0

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash