Come già anticipato attraverso i canali social ufficiali del CERT-AgID, dalle 03:00 alle 06:00 del giorno 11 ottobre 2022 è stata rilevata una massiccia campagna di malspam volta a veicolare una variante del malware sLoad verso le caselle PEC di organizzazioni italiane operanti nell’ambito di settori diversi.

Struttura dell’e-mail PEC

L’oggetto dell’e-mail è dinamico, così come la struttura del link presente nel corpo del messaggio. Le campagne di cui al momento si è a conoscenza sfruttano il tema “Pagamenti” e riportano una tra le seguenti diciture:

• Lettera di sollecito pagamento fattura
• Pagamento in ritardo di fattura
• Ultimo sollecito di pagamento
• Ritardo nel pagamento fattura
• Primo sollecito di pagamento

Il link proposto per visualizzare la fattura punta ad un dominio di recente registrazione (04/10/2022), ospitato su Namecheap, da cui viene scaricato un file ZIP protetto da password (non fornita) e contenente un file DOCX:

La probabile svista

Dalle prime indagini sembra che (ulteriori accertamenti sono ancora in corso) gli autori dietro questa campagna abbiano commesso un errore dimenticando di fornire ai destinatari la password per estrarre il contenuto del file ZIP. Questa svista ha finora evitato che le vittime venissero compromesse. Questa non sarebbe la prima volta che gli autori di campagne malevole commettono errori simili.

Azioni di contrasto

• Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
• Il dominio è stato sospeso da Namecheap.
• Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.

Si invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, potete inoltrare l’email a malware@cert-agid.gov.it