I ricercatori di cyber security di Yoroi-CybNuova hanno scoperto una nuova campagna di attacchi hacker in Italia per diffondere la backdoor sLoad via mail con allegati HTML, relative a presunte fatture. I file, una volta aperti, invitano al download di un archivio compresso, capace di infettare la macchina con il malware. Questo raccoglie informazioni sulla macchina della vittima. Dal dominio alla DNS cache, passando per i processi, l’IP e l’architettura del sistema. Inoltre, periodicamente cattura screenshot dei desktop, cerca il folder Microsoft Outlook e informazioni sulla presenza di file “*.ICA“ Citrix nella user directory. Infine, è in grado di installare ulteriori codici malevoli. Le esche sono presunte fatture destinate alla vittima.
Secondo gli esperti di cyber security la nuova campagna malspam è molto probabilmente la prosecuzione di quella di novembre del 2018 per mezzo della quale le aziende e le utenze in Italia sono state già vittime di una campagna di sLoad. Infatti, Yoroi riporta sul suo blog che la nuova ondata “suggerisce un potenziale rinnovo delle operazioni malevole della minaccia sLoad tracciata internamente come TH-163”. Non è stata ancora confermata l’attribuzione, ma la certezza è che gli aggressori utilizzano TTP simili a quelle degli hacker di stato russi di APT29 (alias Cozy Bear, Office Monkeys, CozyCar, The Dukes e CozyDuke).
Fonte:
https://blog.yoroi.company/warning/nuova-campagna-di-attacco-sload/
