Cert-AgID, nuova scoperta malware via PEC: è ancora Sload

A inizio dello scorso gennaio, Cert-AgID ha nuovamente rilevato una campagna malspam sLoad via PEC che sfrutta un malware con doppio livello di compressione ZIP.

L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica. Ha il compito di coordinare le amministrazioni nel percorso di attuazione del Piano Triennale per l’informatica della Pubblica amministrazione, favorendo la trasformazione digitale dell’Italia. Il Cert-AgID va a caccia dei malware che puntano all’Italia, ma non è solo. Coopera anche con la comunità di ricercatori, con la società civile e con le amministrazioni.

Cert-AgID e il malware Sload

SLoad è un malware completamente scritto in linguaggio di sistema Powershell, supportato da tutte le piattaforme prodotte da Microsoft. Ha già fatto ingenti danni in tutto il Regno Unito e, soprattutto, in Canada, prima di espandersi da circa due anni in Italia.

LEGGI ANCHE >>> Play Store cambia volto: la nuova interfaccia di Google – FOTO

Questo codice maligno ha la capacità di dribblare i sistemi antivirus per rimanare a lungo nei pc, in modo che i cybercriminali possono trafugare i dati contenuti sulla macchina vittima ed installare ulteriori impianti malevoli (tra cui Gootkit) per condurre frodi, ricatti e uno svariato numero di abusi.

LEGGI ANCHE >>> Twitter estende la partnership con Google: siglato accordo per Cloud

Nello specifico, il Cert AgID hanno rilevato l’invio di PEC contenenti il malware sLoad, con lo stesso metodo utilizzato lo scorso luglio: una falsa fattura allegata al messaggio di posta elettronica certificata.

“La campagna è veicolata via PEC verso altri utenti PEC e fa uso di un allegato ZIP contenente un ulteriore file ZIP – fa sapere Cert AgID – all’interno del secondo ZIP sono presenti due file: uno in formato VBS e l’altro XM“.

L’infezione ha inizio nel momento in cui la vittima clicca sul file VBS che ha il compito di scaricare il payload PowerShell con BitsAdmin ed eseguirlo.

Il destinatario viene ingannato dal fatto che la PEC è considerata più sicura delle email tradizionali. I cybercriminali, stavolta, hanno commesso un errore scrivendo che la fattura è in formato PDF, ma il file ZIP non contiene nessun PDF, da qui l’inganno è stato smascherato.

Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione, anche se non è stato possibile recuperare la risorsa remota, da qui le nuove indagini in corso.