skip to Main Content

Cybercrime, doppia campagna per diffondere sLoad in Italia

Il CertPa scopre una nuova campagna del cybercrime per diffondere il malware sLoad in Italia. I messaggi, provenienti dalla PEC, imitano un testo usato dall’Agenzia delle Entrate e contengono un allegato malevolo

Nuova campagna malspam in Italia, indirizzata principalmente ad aziende private e professionisti per diffondere sLoad. Lo rendono noto gli esperti di cyber security del CERT-PA. Il cybercrime sta utilizzando il canale PEC per veicolare il malware all’interno di un archivio ZIP. Gli attacchi, peraltro, sono simili a quelli già avvenuti contro bersagli nel nostro paese a luglio del 2019 e utilizzano un modello di comunicazione molto simile a quello dell’Agenzia delle Entrate. L’allegato è definito da un archivio .zip contenente due file con lo stesso nome. Uno è un pdf malformato, la cui apertura provoca volontariamente un errore di visualizzazione, inducendo così l’utente ad aprire l’altro che è un file .vbs malevolo. In tutti i casi fin ora rilevati entrambi i file hanno lo stesso nome, variabile da caso a caso.

Il ricercatore di cyber security Enrico Ferraris ne identifica un’altra, sempre tesa a veicolare sLoad, che passa per la PEC di Aruba

L’esecuzione del file .vbs determina l’accesso ad un file .jpg posto su un server remoto. Questo viene scaricato e salvato nel percorso locale in c:\Users\Public\Downloads\*.ps1 quindi eseguito dando seguito all’infezione. Il malware è una variante di sLoad noto per essere capace di eseguire comandi arbitrari sul sistema tra cui catturare le informazioni salvate nei browser. Il CERT-PA lo sta analizzando per verificare eventuali nuove funzionalità rispetto alla versione precedentemente utilizzata. Peraltro, in queste ore è l’esperto di cyber security Enrico Ferraris ha scoperto un’altra campagna del cybercrime in Italia, proveniente dalla PEC di Aruba, tesa a diffondere sLoad. Il messaggio, inoltre, non presenta anomalie o errori e la firma risulta valida.

Back To Top