sLoad colpisce ancora: in corso campagna di distribuzione via PEC contro privati e PA italiani

Ennesimo alert da parte del CERT-PA riguardante una nuova campagna di diffusione del malware sLoad. Questa campagna si propaga attraverso i canali PEC e bersaglia sia privati che la Pubblica Amministrazione.

Le due campagne precedenti
Ormai le campagne di diffusione di sLoad contro utenti italiani non sono affatto una novità. Appena qualche giorno fa ne sono state individuate due:

– una prima, sempre tramite il canale PEC, colpisce privati e professionisti.
Ne abbiamo parlato qui >> ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

– una seconda invece, anch’essa tramite canale PEC, ha bersagliato in dettaglio l’Ordine degli Ingegneri di Roma. Rimandiamo al bollettino specifico diramato dal CERT-PA che dettaglia la campagna >> https://www.cert-pa.it/wp-content/uploads/2019/06/CERT-PA-B003-190610.pdf

La campagna attualmente in corso
Per quanto non sia chiaro se la campagna precedente, la prima alla quale facciamo riferimento nel paragrafo precedente, sia terminata o ancora in corso, ciò che è certo è che la campagna attuale, individuata nella nottata di ieri, è in corso ed è una terza variante, con leggere differenze rispetto alle precedenti.

La catena di infezione inizia con la solita email ingannevole, con allegato un archivio .ZIP contenente il payload altamente offuscato del malware.

Fonte: https://www.cert-pa.it

L’oggetto dell’email è del tipo “Avviso di addebito n.XXXXXXXXXXX – Gestione aziende con lavoratori dipendenti”.

Il testo avente sfondo blu nasconde un link al seguente URL:
https://kylemcshane.com/certificato/xqkka-ttbp7h0-DESTINATARIO_IN_BASE64-zb6hi-zv17hdx-rvuc4/Mzk0MjY0ODMzNjgy
e già questo indirizzo reca in sé alcune informazioni sulla vittima. L’indirizzo email della vittima è infatti inserito nell’URL stesso, ma codificato in Base64. Questo e anche il numero di addebito (ripetuto in oggetto e corpo email) potrebbero essere tecniche tramite le quali gli attaccanti tengono traccia delle vittime.

“Il messaggio fa riferimento a presunte verifiche rispetto la posizione contributiva della vittima: un tema importante e delicato, col quale è piuttosto facile catturare l’attenzione della vittima. Una tecnica comune di ingegneria sociale, pensata appositamente per indurre il destinatario a cliccare su un link o ad aprire un allegato” spiega Alessandro Papini, esperto di sicurezza IT e Presidente di Accademia Italiana Privacy “Tale modalità di truffa vede incrementare enormemente le possibilità di successo tanto più è credibile il mittente dell’email: è chiaro che sfruttare il sistema di comunicazione certificata PEC va in questa direzione. Anche il linguaggio apparentemente molto tecnico è una spinta nella direzione di legittimate il messaggio in sé.”

“In questi casi” prosegue Papini “oltre a una solida soluzione antivirus è la consapevolezza e la capacità dell’utente di agire con prudenza che fanno la differenza. Formare il personale rispetto alle minacce informatiche che possono circolare via email, fornendo anche riferimenti utili per distinguere una email fake da una comunicazione legittima, può davvero fare la differenza”.

Per gli indicatori di compromissione rimandiamo direttamente all’alert del CERT-PA

sLoad: qualche info in più
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l’avvio ci sono tutte le informazioni relative alla macchina infettata (dall’architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall’infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy