Variante di sLoad rivolta a Privati e PA contenente finti controlli di posizioni contributive

23/07/2019

malspam sLoad steganografia

A partire da ieri mattina è stata individuata una nuova variante delle due recenti campagne sLoad (Nuova campagna di diffusione sLoad via PEC rivolta a Privati e Professionisti, Campagna sLoad indirizzata a PEC dell’Ordine degli Ingegneri di Roma) indirizzata sia ad enti privati che pubblici e propagatasi attraverso il canale PEC per veicolare il malware tramite payload offuscato all’interno di un archivio ZIP.

Di seguito uno screenshot raffigurante una delle mail malevole:

Variante di sLoad contenente finti controlli di posizioni contributive

Il testo avente sfondo blu è in realta un collegamento alla seguente url:

https://kylemcshane.com/certificato/xqkka-ttbp7h0-DESTINATARIO_IN_BASE64-zb6hi-zv17hdx-rvuc4/Mzk0MjY0ODMzNjgy

La url contiene alcune informazioni riguardanti il target della mail; come si evince da quanto evidenziato in rosso, presumibilmente per dar modo al gruppo di criminale di tener traccia delle potenziali vittime:

  • l’indirizzo email del destinatario (vittima), codificato in Base64;
  • il numero di addebito contenuto nel titolo e nel corpo dell’email (Avviso di addebito n. 394264833682 […])

Come per le altre campagne sLoad, anche in questa variante viene fatto uso di steganografia, aggiungendo del contenuto malevolo in coda all’archivio zip, così come vengono creati task di sistema ad orari inusuali (05:52, 03:30, 07:00).

Per ulteriori approfondimenti si rimanda alle due news riportate sopra.

Indicatori di Compromissione (aggiornamento al 26/07/19)

Si riportano gli indicatori di compromissione associati all’evento in corso:

  • IoC (.txt) – File globale: hash files, Domini, IP
  • IoC (.HASHr) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr