Il CERT-AgID ha emesso un avviso relativo a una campagna, attualmente in corso, che sta prendendo di mira utenti PEC e veicola il malware sLoad solitamente utilizzato per esfiltrare credenziali di accesso a webmail e conti bancari.
Le prime email sono state individuate dopo le ore 23:00 della giornata del 06/02/2022.
Gli esperti spiegano che l’ultima campagna simile risale al 9 gennaio 2022 e le modalità sono ancora le stesse:
- I destinatari delle email malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .JPEG/.PNG corrotto e un file .WSF (loader).
- Il file ZIP ha come nome il seguente pattern “documenti-contab-<C.F|P.Iva>”.
- Il file .WSF (Leggimi.wsf) contiene un dropper che utilizza bitsadmin per il download del payload.
Lo script alla riga 9 inverte il contenuto che contiene la url da cui scaricare il payload e successivamente eseguirlo tramite powershell.
In corso le azioni di contrasto. Il CERT-AgID ha condiviso gli IoC al momento individuati ed eventuali aggiornamenti verranno automaticamente condivisi con le PA accreditate e i Gestori PEC.
https://cert-agid.gov.it/news/e-in-corso-una-nuova-campagna-malware-sload-veicolata-tramite-pec/
