Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna SLoad in Italia, diffusa via PEC e falsa fattura. L’allegato zip ne contiene un altro con un vbs, diverso per ogni mail allo stesso modo dell’url che contatta per scaricare l’eventuale powershell, che dovrebbe veicolare altro malware

SLoad torna in Italia con una campagna via PEC, legata a una falsa fattura scaduta. Nella mail è allegato un documento compresso, che al suo interno ne contiene un altro e un file di testo vuoto. Il secondo zip nasconde un file XML come esca e uno VBS. Quest’ultimo, diverso in ogni mail allo stesso modo del documento compresso, contatta un unico url per scaricare l’eventuale powershell di SLoad. Questa poi, teoricamente, dovrebbe effettuare il download di un altro malware. Al momento, però, non si hanno dettagli su quale possa essere.

La mail con la falsa fattura

La lista dei link contattati dal vbs

I malware samples veicolati dalla mail