skip to Main Content

Italia, nuova campagna di cyber spionaggio con la backdoor sLoad

Italia, Nuova Campagna Di Cyber Spionaggio Con La Backdoor SLoad

Yoroi-Cybaze: Nuova campagna di cyber spionaggio in Italia attraverso la backdoor sLoad. Il malware si diffonde via mail con allegati HTML, relative a presunte fatture

Nuova campagna di attacchi hacker in Italia per diffondere la backdoor sLoad via mail. Lo hanno scoperto i ricercatori di cyber security di Yoroi-Cybaze. Il cybercrime ha lanciato azioni di malspam contro aziende e utenze nel nostro paese attraverso messaggi di posta elettronica, che contengono allegati in formato HTML. I file, una volta aperti, invitano al download di un archivio compresso, capace di infettare la macchina con il malware. Questo raccoglie informazioni sulla macchina della vittima. Dal dominio alla DNS cache, passando per i processi, l’IP e l’architettura del sistema. Inoltre, periodicamente cattura screenshot dei desktop, cerca il folder Microsoft Outlook e informazioni sulla presenza di file “*.ICA“ Citrix nella user directory. Infine, è in grado di installare ulteriori codici malevoli. Le esche, come nel caso degli attacchi cibernetici per veicolare i trojan bancari Ursnif e Gootik e il ransomware GandCrab, sono presunte fatture destinate alla vittima. 

Gli esperti di cyber security: La nuova campagna malspam molto probabilmente è la prosecuzione di quella che l’Italia subì a novembre del 2018

Le aziende e le utenze in Italia erano state già vittime di una campagna di sLoad a novembre del 2018. I cyber criminali prima avevano colpito altri paesi come il Regno Unito, poi hanno esteso la diffusione del malware anche al nostro. L’obiettivo era sempre il cyber spionaggio. Gli attori dietro ai nuovi attacchi cibernetici molto probabilmente, infatti, sono gli stessi dell’anno scorso. Non a caso Yoroi riporta sul suo blog che la nuova ondata “suggerisce un potenziale rinnovo delle operazioni malevole della minaccia sLoad tracciata internamente come TH-163”. Non ci sono conferme sull’attribuzione, ma il dato certo è che gli aggressori utilizzano TTP simili a quelle degli hacker di stato russi di APT29 (alias Cozy Bear, Office Monkeys, CozyCar, The Dukes e CozyDuke).

Back To Top