L’allegato xlsm della mail contatta un unico url (inps-servizi.com) e scarica la dll, che avvia l’infezione del malware. Ma solo da IP italiani.
Cybercrime, campagna SLoad in Italia diffusa via PEC e falsa fattura
Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna SLoad in Italia, diffusa via PEC e falsa fattura. L’allegato zip ne contiene un altro con un vbs, diverso per ogni mail allo stesso modo dell’url che contatta per scaricare l’eventuale powershell, che dovrebbe veicolare altro malware
SLoad torna in Italia con una campagna via PEC, legata a una falsa fattura scaduta. Nella mail è allegato un documento compresso, che al suo interno ne contiene un altro e un file di testo vuoto. Il secondo zip nasconde un file XML come esca e uno VBS. Quest’ultimo, diverso in ogni mail allo stesso modo del documento compresso, contatta un unico url per scaricare l’eventuale powershell di SLoad. Questa poi, teoricamente, dovrebbe effettuare il download di un altro malware. Al momento, però, non si hanno dettagli su quale possa essere.