Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

giovedì 11 marzo 2021
Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

E’ da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonchè uno dei malware più diffusi anche tramite il circuito “sicuro” della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

Viene diffuso a cadenza ormai settimanale con diverse tipologie di campagne email, molte delle quali via PEC, come dicevamo, e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa.

Sviluppato per operare sui sistemi Windows e per colpire le aziende, viene diffuso tramite allegati email di vari formati, ha funzionalità di esfiltrazione di informazioni dai sistemi che infetta e funziona tramite comunicazione con server di comando e controllo che ricevono le informazioni rubate e inviano comandi ulteriori al malware. Le comunicazioni col server di comando e controllo sfruttano un servizio legittimo di Windows, ovvero BITS (Background Intelligent Transfer System), usato per inviare aggiornamenti del sistema operativo.

E’ un downloader PowerShell che ruba informazioni mirate dai sistemi infetti (processi in esecuzione e presenza di client di posta elettronica come Outlook), ma può anche scattare screenshot dello schermo, analizzare la cache DNS cercando specifici domini. Le informazioni che vengono sottratte dal dispositivo infetto sono informazioni tecniche della macchina e il codice UUID (Universally Unique IDentifier). La funzione principale è comunque quello di eseguire il download di altri payload, soprattutto trojan e ransomware di varie famiglie.
La catena di infezione di sLoad. Fonte: Yoroi.company

Gli allegati più utilizzati per diffondere sLoad sono in formato .ZIP e contengono varie tipologie di script dannosi (formati .vbs, .vbe, .wsf, .wsc): più raramente sono usati file .doc, .PDF, eseguibili .exe e Javascript.

Per quanto spesso le soluzioni di sicurezza riescano ad individuare gli allegati dannosi o, nel caso di presenza di strumenti di identificazione comportamentale, a bloccare lo script dannoso, la migliore protezione resta la prevenzione. In questo articolo una breve guida agli allegati email più usati per infettare i sistemi Windows con utili consigli su come evitare di restare vittime di queste campagne

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy