Malware via PEC: sLoad colpisce ancora

Gli esperti del CERT-AGID hanno individuato altre PEC con allegati ZIP che nascondono il malware sLoad già scoperto in passato.
Gli esperti del CERT-AGID hanno individuato altre PEC con allegati ZIP che nascondono il malware sLoad già scoperto in passato.

Per la seconda volta in meno di due mesi, gli esperti del CERT-AGID hanno rilevato l’invio di PEC contenenti il malware sLoad. Anche questa volta gli autori hanno cercato di ingannare gli utenti con una falsa fattura allegata al messaggio di posta elettronica certificata.

sLoad: PEC con malware incluso

Il CERT-AGID ha scoperto per la prima volta il malware sLoad a luglio 2020. È riapparso successivamente a novembre 2020 e quindi a gennaio 2021. Come nei casi precedenti, anche stavolta si è trattata di una campagna di breve durata (solo 10 ore), ma probabilmente sufficiente per ingannare qualche ignaro utente.

La PEC ha come oggetto “Comunicazione [nome azienda]” e allegato “00[codice fiscale].zip“, all’interno del quale un altro archivio ZIP contenente due file XML e VBS. L’infezione si verifica quando viene eseguito il file VBS (uno script Visual Basic) che scarica il payload PowerShell con BitsAdmin.

Il destinatario viene ingannato dal fatto che la PEC è considerata più sicura delle email tradizionali. Inoltre il contenuto del messaggio indica una fattura elettronica in allegato. In questo caso però i malintenzionati hanno scritto chiaramente che la fattura è in formato PDF. Dato che il file ZIP non contiene nessun PDF, l’inganno sembra abbastanza ovvio.

sLoad_PEC

Il CERT-AGID non ha ancora scoperto le “funzionalità” di sLoad. In passato è stato utilizzato per rubare dati sensibili, come le credenziali di accesso ai servizi online.

Fonte: CERT-AGID
Link copiato negli appunti

Ti potrebbe interessare

08 02 2021
Link copiato negli appunti