La scorsa settimana, sLoad è stato messo in distribuzione tramite email di spam veicolate entro il circuito PEC: la campagna era mirata contro utenti italiani, le email veicolavano un allegato .ZIP contenente, a sua volta, un altro allegato .ZIP.
La campagna è stata a tema "Pagamenti", oggetto email era [RAGIONE_SOCIALE]: entro l'allegato .ZIP è annidato uno script WSF usato come dropper, per scaricare appunto il malware sLoad. La cosa interessante è stata che questa campagna malware è stata contrastata grazie al contributo dei gestori PEC coinvolti.
 |
| L'email della campagna sLoad della scorsa settimana. Fonte: https://cert-agid.gov.it/ |
Ora, a distanza di una settimana, il giro si ripete: una nuova campagna di distribuzione di sLoad, veicolata via PEC, è iniziata nella tarda serata del 30 Maggio ed è terminata qualche ora dopo.
 |
| L'email della campagna sLoad di questa settimana. Fonte: https://cert-agid.gov.it/ |
Le variazioni rispetto alla precedente campagna sono minime: non cambiano né modalità di diffusione né tema usato (sempre Pagamenti). Le modifiche riguardano il testo, leggermente cambiato, è il formato del file vettore allegato, che passa da .ZIP ad un altro formato archivio, ovvero .7Z. Non cambia invece il file contenuto nell'archivio. Anche il giorno per la distribuzione non è cambiato: le campagne sLoad iniziano sempre la domenica sera, poco prima della mezzanotte.
Anche stavolta però, il CERT ha contrastato la campagna: già Domenica sera sono iniziate le prime segnalazioni all'indirizzo email che il CERT ha messo a disposizione degli utenti per segnalare cyber attacchi (malware@cert-agid.gov.it). Di nuovo, la pronta collaborazione con i Gestori PEC ha permesso di contrastare la campagna e, nei fatti, bloccarla prima che si diffondesse.
Qui gli indicatori di compromissione pubblicati dal CERT
sLoad in breve
sLoad è un malware con funzionalità di downloader / dropper di altri malware. Diffuso esclusivamente via campagne di email di spam, può raccogliere informazioni sui sistemi Windows infetti e inviarli al server di comando e controllo, dal quale riceve anche una serie di comandi secondo la tipologia della macchina colpita. Tali comunicazioni usano, sfortunatamente, il servizio BITS che Windows usa invece legittimamente per gli aggiornamenti del sistema operativo. Tra le informazioni sottratte dai sistemi ci sono anche gli elenchi dei processi in esecuzione, ma anche l'eventuale presenza di client di posta elettronica da "scassinare". Può inoltre acquisire screenshot, analizzare la cache DNS in cerca di precisi domini e, soprattutto, scarica ed esegue i payload di altri malware (principalmente ransomware e trojan).
Nessun commento:
Posta un commento