Nuova campagna sLoad veicolata tramite PEC

13/01/2020

malspam pec sLoad

A partire dalla mattinata di oggi è stata individuata una vasta campagna di malspam che ha coinvolto circa 100.000 caselle PEC differenti al fine di veicolare una variante del già osservato malware denominato sLoad.

Si riporta, di seguito, un esempio di email malevola avente come oggetto “Sollecito Avviso N. CU69151275241” e contenente in allegato un archivio zip.

All’interno dell’archivio zip sono presenti due file:

  1. un .pdf malformato la cui apertura da luogo ad un errore di visualizzazione inducendo l’utente ad aprire l’altro file;
  2. un file .vbs che da origine alla catena di infezione.

Catena d’infezione

Una volta eseguito il file .vbs viene scaricato un file contenente codice PowerShell da un server remoto. Nel caso analizzato il download avviene dalla seguente url:

https[.]//cafebellissimo[.]com/doprena/CU69151275241[.]png) e salvato nel percorso c:\Users\Public\Documents\*.jpg; successivamente viene eseguito dando luogo all’infezione.

Il malware analizzato è una variante di sLoad nota per sottrarre informazioni personali dalle macchine compromesse.

Nel caso analizzato, il malware in questione, tra le varie operazioni, si occupa di trafugare tutti i file con estensione .ost contenuti nel seguente percorso: C:\Users\USER_NAME\AppData\Local\Microsoft\Outlook.

Raccomandazioni

Prestare attenzione ai messaggi provenienti da caselle PEC aventi come oggetto Sollecito Avviso N. XXXXXXX, in particolare evitare sempre di aprire file eseguibili di dubbia provenienza avente come estensione .exe, .bat, .ps1, .vbs, .js, ecc.

Per ulteriori dettagli sulla modalità in cui questo genere di Malware opera si rimanda al Bollettino

Indicatori di compromissione

Gli IoC di seguito riportati sono stati notificati alla constituency in formato STIX 2.0

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash