Il CERT-AgID ha individuato online una nuova massiva campagna di email di spam che vede come canale di distribuzione il circuito PEC. La campagna è terminata, è durata dalla tarda serata di Domenica 12 Luglio alle 2.40 del giorno successivo.
L'email è un classico della truffa e dell'ingegneria sociale: l'oggetto è "Invio documenti elettronici" e il testo fa riferimento ad una fantomatica fattura.
Secondo i dati in possesso di Cert-AgID le vittime sono tutte utenti PEC che hanno ricevuto sulla posta certificata questi messaggi: le email contengono un archivio .ZIP contenente a sua volta un file VBS e un file XML.
La catena di infezione
sLoad, spiega il CERT-AgID, genera due file .ini, ovvero system.ini e win.ini: il loro codice è altamente offuscato ma è decifrabile grazie al decrypt PS1 presente nella cartella in cui sono scaricati i due file. Dal file system.ini si scopre che la versione di sLoad in distribuzione è la 2.9.3.
Il file win.ini contiene invece i server di comando e controllo contattati per eseguire le operazioni
sLoad in breve
sLoad è in diffusione ormai da anni e ha fatto dell'Italia un bersaglio prediletto: ad inizio 2020 ne è stata individuata una nuova versione, la 2.0. Questa presenta svariate innovazioni rispetto alla precedente ed è anch'essa in elaborazione: la versione distribuita lo scorso fine settimana infatti è la 2.9.3.
Scopo principale di sLoad è quello di raccogliere quante più informazioni possibile dal sistema infetto, compresi screenshot, inviando tutto quello che viene raccolto ad un server di comando e controllo: tramite il server 2C gli attaccanti ricevono le informazioni e inviano comandi al malware sulle mosse successive da eseguire. Spesso sLoad viene usato come mero malware downloader: una volta raccolte le informazioni sul sistema, sLoad viene usato come tramite per installare un secondo payload malware in base al tipo di sistema e quanto può far guadagnare gli attaccanti.
Scopo principale di sLoad è quello di raccogliere quante più informazioni possibile dal sistema infetto, compresi screenshot, inviando tutto quello che viene raccolto ad un server di comando e controllo: tramite il server 2C gli attaccanti ricevono le informazioni e inviano comandi al malware sulle mosse successive da eseguire. Spesso sLoad viene usato come mero malware downloader: una volta raccolte le informazioni sul sistema, sLoad viene usato come tramite per installare un secondo payload malware in base al tipo di sistema e quanto può far guadagnare gli attaccanti.
Nessun commento:
Posta un commento