IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Nuova campagna sLoad verso utenze PEC

23/11/2020

PEC sLoad

Grazie alla collaborazione con il provider di Posta Elettronica Certificata Aruba, il CERT-AGID ha ottenuto evidenze di una massiccia campagna di malspam rivolta ad utenze PEC.

L’e-mail malevola utilizzata per diffondere sLoad.

Le e-mail malevole fanno riferimento ad una fattura scaduta. L’oggetto contiene la ragione sociale della vittima seguita da “Fatture scadute” ed è presente, come file allegato, un archivio ZIP.

sLoad

All’interno dell’archivio allegato è contenuto un secondo archivio ZIP ed un file di testo vuoto. Dentro il secondo ZIP sono presenti un file XML, senza alcuna utilità, e un file VBS.
L’infezione parte cliccando su quest’ultimo file, il quale ha il compito di scaricare il payload PowerShell del secondo stadio (con BitsAdmin) ed eseguirlo.

sLoad è utilizzato per il download di un terzo payload di cui non abbiamo evidenze poichè al momento in cui sono state effettuate le analisi non ci è stato possibile recuperare la risorsa remota.

In passato, limitatamente alle campagne verso utenze PEC italiane, sLoad è stato utilizzato per l’installazione di RAT ed Infostealer con l’obiettivo principale di esfiltrare le credenziali della vittima. Non avendo potuto analizzare il terzo payload non ci è possibile affermare con certezza che il malware non effettui altre azioni malevole.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC

Taggato  PEC sLoad