Malware sLoad sfrutta PEC con allegato malevolo annidato in doppio ZIP.

08/02/2021

PEC sLoad

Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00.

Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega un file ZIP, denominato 00CODICEFISCALE.zip, all’interno del quale è presente un ulteriore archivio ZIP contenente un file VBS e un XML.

sLoad

L’infezione ha inizio nel momento in cui la vittima clicca sul file VBS che ha il compito di scaricare il payload PowerShell con BitsAdmin ed eseguirlo.

sLoad resta in esecuzione in attesa di ricevere ulteriore payload da eseguire.

Tema Rick and Morty

Analizzando l’ultimo stadio di sLoad emerge una particolarità mai osservata prima in questa famiglia di malware. I nomi utilizzati per le variabili ricordano i personaggi della nota serie “Rick and Morty“.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC

Taggato  PEC sLoad