È in corso una nuova campagna malware sLoad veicolata tramite PEC
sLoad
Le prime email sono state individuate dopo le ore 23:00 della giornata di ieri 06/02/2022. La campagna, attualmente in corso, è mirata verso utenti PEC ed è volta a veicolare il malware sLoad solitamente utilizzato per esfiltrare credenziali di accesso a webmail e conti bancari.
L’ultima campagna simile risale al 9 gennaio 2022 e le modalità sono ancora le stesse:
- I destinatari delle email malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .JPEG/.PNG corrotto e un file .WSF (loader).
- Il file ZIP ha come nome il seguente pattern “documenti-contab-<C.F|P.Iva>”.
- Il file .WSF (Leggimi.wsf) contiene un dropper che utilizza bitsadmin per il download del payload.
Lo script alla riga 9 inverte il contenuto che contiene la url da cui scaricare il payload e successivamente eseguirlo tramite powershell.
Le azioni di contrasto sono in corso, si riportano pertanto gli IoC al momento individuati. Eventuali aggiornamenti verranno automaticamente condivisi con le PA accreditate e i Gestori PEC.
Indicatori di Compromissione
Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli indicatori rilevati:
Link: Download IoC