Gli esperti del CERT_AGID hanno rilevato e contrastato una campagna malspam sLoad a tema “Pagamenti” veicolata via PEC verso altri utenti PEC che fa uso di un allegato ZIP contenente un ulteriore file ZIP.
L’oggetto della email è Fattura [RAGIONE SOCIALE]. All’interno del secondo ZIP sono presenti due file: uno in formato VBS e l’altro XML.La campagna malevola ha avuto inizio nella giornata del 10/01/2021 ed è terminata l’11/01/2021.
L’utilizzo di file ZIP
«Di per sé innocui, il loro utilizzo rende più complesse le rilevazioni delle minacce; un simile espediente è stato già utilizzato nella campagna del mese di novembre 2020. Gli archivi ZIP sono un tipo di file spesso utilizzati nelle comunicazioni via PEC lecite (anche istituzionali) e pertanto non possono essere bloccate a priori dai Gestori.
Al tempo stesso, le possibilità di annidamento degli archivi ZIP sono pressoché illimitate, creando un gioco al rimpiattino tra le misure di difesa implementate ed i trucchi messi in atto dagli attaccanti.
Tuttavia i casi di elusione delle restrizioni di sicurezza (messe in atto dai Gestori con la collaborazione di AgID) rimangono al momento per fortuna basse: questo è solo il secondo andato a buon fine nell’ultimo quadrimestre.
Ad ogni modo, in questi casi, l’aggiornamento dei sistemi di rilevazione risulta semplice ed immediato.
sLoad
L’infezione ha inizio nel momento in cui la vittima clicca sul file VBS che ha il compito di scaricare il payload PowerShell con BitsAdmin ed eseguirlo.
Come anticipato altre volte, sLoad è utilizzato per il download di un nuovo payload, di cui non abbiamo al momento evidenze poichè quando sono state effettuate le analisi non ci è stato possibile recuperare la risorsa remota. Ulteriori indagini sono tuttavia in corso», si legge nella comunicazione del CERT-AGID.
Il CERT-AGID ha già condiviso gli IoC attraverso le proprie piattaforme per favorirne la loro diffusione.
