La segnalazione del Cert-PA è di stamattina, ma l'individuazione di un'ampia campagna di email di spam che diffonde il malware sLoad via circuito PEC risale a domenica sera. L'email di spam coinvolge centinaia di account PEC differenti ed è indirizzata sia verso utenti privati che enti pubblici.
L'email ha come oggetto “Copia Cortesia – PDF Fattura Numero XXXXXXXX“ dove il numero solitamente è RX49712669619, ma sono state individuate anche alcune varianti nelle quali il fantomatico "codice fattura" può anche variare. E' stato il ricercatore indipendente reecdepp a riportare infatti una variante (visibile qui) "armata" di un archivio .ZIP dentro il quale è contenuto un falso PDF e un file VBS: questa variante mostra un "codice fattura" diverso.
Il testo dell'email è il seguente:
Fonte: https://www.cert-pa.it/notizie/campagna-malspam-sload-veicolata-via-pec/ |
L'email contiene, come detto, 3 file: nella versione pubblicata dal Cert-Pa i nomi file sono
- copia-cortesia-fattura-numero-RX49712669619.zip
- copia-cortesia-fattura-numero-RX49712669619.pdf
- copia-cortesia-fattura-numero-RX49712669619.vbs
Dall'analisi del codice del file VBS il Cert-PA ha rivelato il download di un ulteriore file al momento non disponibile sul server di archiviazione dei file.
il malware sLoad in breve
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l'avvio ci sono tutte le informazioni relative alla macchina infettata (dall'architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
- sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall'infezione, per distribuire ulteriori malware nelle macchine già colpite;
- sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
- sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.
Nessun commento:
Posta un commento