L’esperto di cyber security reecDeep scopre una nuova campagna cybercrime per diffondere SLoad in Italia via PEC. Questa sfrutta reali conversazioni precedenti e la catena d’infezione del malware si avvia tramite un file VBS nell’allegato.

Il cybercrime prende ancora di mira l’Italia con Sload, usando la PEC. Il ricercatore di cyber security reecDeep ha scoperto una campagna, che sfrutta conversazioni precedenti reali sulla Posta Elettronica Certificata.

L’obiettivo è far sì che la vittima apra l’allegato, un file 7 Zip, che al suo interno contiene due file: un xml e un VBS, il quale avvia la catena d’infezione. Aprendolo, infatti, si attiva bitsadmin che effettua prima il download della versione cifrata del trojan e poi delle chiavi.

Queste sono usate per deoffuscare in memoria lo script principale: il downloader Powershell, che ha anche capacità di spyware.

Al momento, invece, non si sa quale ulteriore codice malevolo questo diffonda. Solitamente si tratta del banker Ramnit, ma non è ancora stato accertato.

 

https://twitter.com/reecdeep/status/1305399857818021890

Twitter
Visit Us
LinkedIn
Share
YOUTUBE