È in corso una nuova campagna malware sLoad veicolata tramite PEC

07/02/2022

sLoad

Le prime email sono state individuate dopo le ore 23:00 della giornata di ieri 06/02/2022. La campagna, attualmente in corso, è mirata verso utenti PEC ed è volta a veicolare il malware sLoad solitamente utilizzato per esfiltrare credenziali di accesso a webmail e conti bancari.

L’ultima campagna simile risale al 9 gennaio 2022 e le modalità sono ancora le stesse:

  • I destinatari delle email malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .JPEG/.PNG corrotto e un file .WSF (loader).
  • Il file ZIP ha come nome il seguente pattern “documenti-contab-<C.F|P.Iva>.
  • Il file .WSF (Leggimi.wsf) contiene un dropper che utilizza bitsadmin per il download del payload.

Lo script alla riga 9 inverte il contenuto che contiene la url da cui scaricare il payload e successivamente eseguirlo tramite powershell.

Le azioni di contrasto sono in corso, si riportano pertanto gli IoC al momento individuati. Eventuali aggiornamenti verranno automaticamente condivisi con le PA accreditate e i Gestori PEC.

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli indicatori rilevati:

Link: Download IoC

Taggato  sLoad