Il CERT-AGID, grazie alla collaborazione con il provider di Posta Elettronica Certificata Aruba, ha ottenuto evidenze di una massiccia campagna di malspam in corso rivolta ad utenze PEC.
«Le e-mail malevole fanno riferimento ad una fattura scaduta. L’oggetto contiene la ragione sociale della vittima seguita da “Fatture scadute” ed è presente, come file allegato, un archivio ZIP.
sLoad
All’interno dell’archivio allegato è contenuto un secondo archivio ZIP ed un file di testo vuoto. Dentro il secondo ZIP sono presenti un file XML, senza alcuna utilità, e un file VBS.
L’infezione parte cliccando su quest’ultimo file, il quale ha il compito di scaricare il payload PowerShell del secondo stadio (con BitsAdmin) ed eseguirlo.
sLoad è utilizzato per il download di un terzo payload di cui non si hanno evidenze poiché al momento in cui sono state effettuate le analisi non è stato possibile recuperare la risorsa remota.
In passato, limitatamente alle campagne verso utenze PEC italiane, sLoad è stato utilizzato per l’installazione di RAT ed Infostealer con l’obiettivo principale di esfiltrare le credenziali della vittima. Non avendo potuto analizzare il terzo payload non è possibile affermare con certezza che il malware non effettui altre azioni malevole.
Indicatori di compromissione
Il CERT-AGID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.»
https://cert-agid.gov.it/news/nuova-campagna-sload-verso-utenze-pec/
