In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.
FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l'utente legge l'email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente l'installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all'attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.
Indicatori di compromissione
Per le specifiche clicca qui >>> .txt
Il malware sLoad
Il CERT-PA ha rilevato inoltre una campagna di distribuzione di sLoad, un altro malware inviato tramite Posta Certificata PEC. L'attaccante invia una mail che si riferisce ad una falsa fattura, con oggetto un ipotetico "Invio documentazione BCR XXX", in cui XXX è una sequenza numerica.
Fonte: https://www.cert-pa.it/
Allegato alla mail è presente un archivio .ZIP che ha all'interno un finto PDF e un file .WSF che, una volta eseguito, fa partire la catena di infezione.
Il malware installato è sLoad, che permette all'attaccante di creare un accesso remoto alla macchina della vittima ma, al momento, non si conoscono le intenzioni degli attaccanti. Una vecchia versione di sLoad era stata utilizzata per rubare le credenziali salvate su alcuni browser come Chrome o quelli della famiglia di Internet Explorer.