Gli esperti di cyber security del CERT-AgID: Nuova campagna del cybercrime per veicolare sLoad in Italia via PEC. L’esca è una presunta fattura con un allegato Zip. Il file VBS all’interno avvia la catena d’infezione del malware

Nuova campagna malspam del cybercrime per veicolare sLoad in Italia via PEC. L’hanno scoperta i ricercatori di cyber security del CERT-AgID. Le vittime hanno ricevuto messaggi che fanno riferimento ad una ipotetica fattura con in allegato un archivio ZIP con un file VBS ed un XML. L’obiettivo è compromettere i target con il malware. Il file VBS, infatti, una volta eseguito, scarica da una risorsa remota un file PS1 camuffato solitamente da immagine (.png o .jpg) o in altri casi da .css. Il codice malevolo genera due file system.ini e win.ini, contenenti codice offuscato ma decifrabile grazie al decrypt PS1 presente nella cartella in cui sono stati rilasciati i due file. Dal file system.ini si evince che la versione utilizzata per questa campagna è la 2.9.3, mentre da quello win.ini è possibile ottenere i server di comando e controllo (C2) contattati.