sLoad nuovamente in diffusione via PEC: info e come eliminare il trojan rubadati

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonché uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

sLoad: il "pirata" del circuito PEC

sLoad viene diffuso a cadenza quasi settimanale con diverse tipologie di campagne email quasi esclusivamente tramite circuito PEC e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa. 

E' tra quei malware che viene costantemente contrastato dal CERT assieme ai provider di email PEC: un'operazione dovuta vista la necessità che il circuito PEC si mantenga sicuro. E' anche uno dei malware che più spesso mira alla Pubblica Amministrazione. 

Per fare un esempio concreto, la scorsa settimana il CERT ha contrastato l'ennesimo tentativo di diffusione nel circuito PEC: sul canale Telegram del CERT è stata pubblicata l'email incriminata, visibile sotto

La forma è un classico del phishing e delle campagne malware: un finto sollecito di pagamento, al quale però si presta maggiore attenzione visto che proviene da un circuito di email verificate. Le email veicolavano un allegato ZIP contenente un ulteriore archivio ZIP. Al suo interno il VBS responsabile della diffusione del malware.

Va detto però che non è sempre stato così: sLoad ha concentrato la sua diffusione sul circuito PEC a partire da metà Giugno 2019, circa un anno dopo l'approdo in Italia. 

La catena di infezione di sLoad.

La catena di infezione di sLoad tramite file LNK. Fonte: https://securityaffairs.co

Gli allegati più utilizzati per diffondere sLoad sono in formato .ZIP e contengono varie tipologie di script dannosi (formati VBS; VBE, WSF, WSC): più raramente sono usati file DOC, PDF, eseguibili EXE e Javascript. Se in una fase iniziale si diffondeva tramite ZIP e LNK, ora la tecnica del doppio archivio ZIP è sempre più spesso utilizzata. 

Il file contenuto nello ZIP è comunque un dropper altamente offuscato, anche se assume varie forme. Questi dropper hanno una caratteristica che li rende estremamente pericolosi: utilizzano infatti link "usa e getta" per usare le parole degli esperti del CERT. Una volta che il malware è stato scaricato, cioè, il link non è più utilizzabile. Inutile dire, forse, quanto questo renda estremamente più complessa l'analisi e la prevenzione. 

sLoad: anatomia breve

Sviluppato per operare sui sistemi Windows e per colpire le aziende, si basa su uno script Powershell del cui download è appunto responsabile il dropper su menzionato. E' questo Powershell che installa ed esegue il core di sLoad. Manco a dirsi è altamente offuscato, ma i ricercatori hanno osservato che sLoad si installa in APPDATA in una cartella il cui nome ha lunghezza variabile. La prima operazione compiuta è, ovviamente, quella di garantirsi la persistenza. Per farlo crea una task apposita che inizia con la lettera S ed è seguita, nel nome, da un numero sequenziale: sLoad così si anniderà nel sistema e sarà sempre pronto ad agire.

Tecnicamente è definibile come un RAT, trojan di accesso remoto: i server di comando e controllo sono elencarli nel file sleep.sh (anche se il nome di questo file varia tra i sample).  Le chiamate ai server C&C e le operazioni di rete sono eseguite via BitsAdmin. Qui sLoad ha perfino una tecnica di autodifesa: se viene rilevata una richiesta non compatibile con BitsAdmin o con il core, l'IP che la effettua viene bloccato. Per questo il malware invia ai server C&C chiamate per verificare che siano attivi. 

sLoad ha una caratteristica peculiare: è molto paziente. Aspetta un'ora a distribuire il primo payload: le fasi successive invece avvengono ogni 4 ore. 

sLoad: quali funzionalità ha?

Una volta stabilita la connessione coi server C&C, sLoad ricerca una lunga serie di informazioni. Ad esempio:

• cartelle condivise;
• nome CPU e del sistema operativo;
• la lista di tutti i file OST (Outlook) precedenti nel percorso AppData\Local\Microsoft\Outlook;
• la lista dei processi in esecuzione;
• ricerca in APPDATA i file contenenti i domini di note banche italiane;

Il secondo payload invece esfiltra i dati "interessanti": raccoglie i dati di sessione dell'utente dai principali browser, ne fa un file ZIP e lo invia al server di comando e controllo. Probabilmente è così che è riuscito a infiltrarsi nel circuito PEC, visto che può recuperare i file nei quali i browser più popolari salvano cookie e password e questo potrebbe aver permesso ai suoi gestori di avere accesso ad una serie di account PEC, compromettendoli. 

La funzione principale è comunque quello di eseguire il download di altri payload, soprattutto trojan e ransomware di varie famiglie. 

Per quanto spesso le soluzioni di sicurezza riescano ad individuare gli allegati dannosi o, nel caso di presenza di strumenti di identificazione comportamentale, a bloccare lo script dannoso, la migliore protezione resta la prevenzione. In questo articolo una breve guida agli allegati email più usati per infettare i sistemi Windows con utili consigli su come evitare di restare vittime di queste campagne.

Rimuovere sLoad

Nel caso in cui un sistema finisca infettato da sLoad dovrebbero essere sufficienti due azioni:

• terminare i processi Powershell;
• rimuovere task il cui nome inizia con S ed è seguito da un numero (la task dannosa di sLoad punta all'interprete VBscript). 

Per quanto spesso le soluzioni di sicurezza riescano ad individuare gli allegati dannosi o, nel caso di presenza di strumenti di identificazione comportamentale, a bloccare lo script dannoso, la migliore protezione resta la prevenzione. In questo articolo una breve guida agli allegati email più usati per infettare i sistemi Windows con utili consigli su come evitare di restare vittime di queste campagne