Per la seconda volta in meno di due mesi, gli esperti del CERT-AGID hanno rilevato l’invio di PEC contenenti il malware sLoad. Anche questa volta gli autori hanno cercato di ingannare gli utenti con una falsa fattura allegata al messaggio di posta elettronica certificata.
sLoad: PEC con malware incluso
Il CERT-AGID ha scoperto per la prima volta il malware sLoad a luglio 2020. È riapparso successivamente a novembre 2020 e quindi a gennaio 2021. Come nei casi precedenti, anche stavolta si è trattata di una campagna di breve durata (solo 10 ore), ma probabilmente sufficiente per ingannare qualche ignaro utente.
La PEC ha come oggetto “Comunicazione [nome azienda]” e allegato “00[codice fiscale].zip“, all’interno del quale un altro archivio ZIP contenente due file XML e VBS. L’infezione si verifica quando viene eseguito il file VBS (uno script Visual Basic) che scarica il payload PowerShell con BitsAdmin.
Malware #sLoad sfrutta #PEC con allegato malevolo annidato in doppio ZIP.https://t.co/WNrkoohIQZ pic.twitter.com/ZgfUzZtIfC
— Cert AgID (@AgidCert) February 8, 2021
Il destinatario viene ingannato dal fatto che la PEC è considerata più sicura delle email tradizionali. Inoltre il contenuto del messaggio indica una fattura elettronica in allegato. In questo caso però i malintenzionati hanno scritto chiaramente che la fattura è in formato PDF. Dato che il file ZIP non contiene nessun PDF, l’inganno sembra abbastanza ovvio.
Il CERT-AGID non ha ancora scoperto le “funzionalità” di sLoad. In passato è stato utilizzato per rubare dati sensibili, come le credenziali di accesso ai servizi online.