Nuova campagna di diffusione sLoad via PEC rivolta a Privati e Professionisti

19/07/2019

malspam pec sLoad

A partire dalla mattinata odierna, esattamente la prima evidenza risale alle ore 23 del 18/07/2019, con una seconda ondata ripartita alle ore 4:36 del mattino seguente, è stata individuata una vasta campagna di malspam indirizzata sia ad aziende private che a professionisti, che utilizza il canale PEC per veicolare il malware all’interno di un archivio ZIP.

I mittenti utilizzati per veicolare i messaggi sono probabilmente un numero circoscritto di caselle precedentemente compromesse. Di seguito uno screenshot di come si presenta la mail.

Come è possibile notare, i contenuti sono scritti in lingua italiana e, al fine di dare maggiore credibilità al messaggio, si invita l’utente a consultare il sito dell’Agenzia per l’Italia Digitale per verificare la firma digitale.

L’utente che apre l’allegato compresso si ritrova dinanzi due file:

  1. comunicazione clientela.pdf
  2. comunicazione clientela.vbs

L’eventuale apertura del file PDF (comunicazione clientela.pdf) restituisce un errore:

L’utente è quindi spinto a cliccare sul file con estensione .vbs. A questo punto, per non destare sospetti, il file PDF viene visualizzato correttamente e inizia il processo di compromissione.

Come di consueto, il file VBS esegue codice PowerShell per poi visualizzare il file PDF e successivamente scaricare sLoad che resta in ascolto in attesa di istruzioni.

La tipologia di malware analizzato è identico al sample osservato nel corso della Campagna sLoad indirizzata verso PEC dell’Ordine degli Ingegneri di Roma

Sempre in analogia alla campagna perpetrata ai danni dell’Ordine degli Ingegneri, è stato osservato che gli attaccanti stanno veicolando in queste ore un payload di tipo PowerShell che ha lo scopo di sottrarre file di navigazione, cookie, file temporanei di Internet Explor e prodotti Google.

Indicatori di compromissione (Aggiornamento al 26/07/19)

Si riportano gli indicatori di compromissione associati all’evento in corso:

  • IoC (.txt) – File globale: hash files (SHA256), Domini, IP
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr