Grazie alla collaborazione con il provider di Posta Elettronica Certificata Aruba, il CERT-AGID ha ottenuto evidenze di una massiccia campagna di malspam rivolta ad utenze PEC.

Le e-mail malevole fanno riferimento ad una fattura scaduta. L’oggetto contiene la ragione sociale della vittima seguita da “Fatture scadute” ed è presente, come file allegato, un archivio ZIP.

sLoad

All’interno dell’archivio allegato è contenuto un secondo archivio ZIP ed un file di testo vuoto. Dentro il secondo ZIP sono presenti un file XML, senza alcuna utilità, e un file VBS.
L’infezione parte cliccando su quest’ultimo file, il quale ha il compito di scaricare il payload PowerShell del secondo stadio (con BitsAdmin) ed eseguirlo.

sLoad è utilizzato per il download di un terzo payload di cui non abbiamo evidenze poichè al momento in cui sono state effettuate le analisi non ci è stato possibile recuperare la risorsa remota.

In passato, limitatamente alle campagne verso utenze PEC italiane, sLoad è stato utilizzato per l’installazione di RAT ed Infostealer con l’obiettivo principale di esfiltrare le credenziali della vittima. Non avendo potuto analizzare il terzo payload non ci è possibile affermare con certezza che il malware non effettui altre azioni malevole.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC