In queste ore CERT AgID rende noto di aver rilevato una campagna malspam sLoad che si diffonde tramite Posta Elettronica Certificata. Il messaggio contenente il codice maligno ha come tema i pagamenti e come oggetto “Fattura”. L’invito è a prestare la massima attenzione.
sLoad prende di mira la Posta Elettrnica Certificata
Stando alle informazioni disponibili arriva a sua volta da un indirizzo PEC e include un archivio ZIP contenente un ulteriore file con la medesima estensione. Quest’ultimo, una volta decompresso, genera altri due file in formato VBS e XML. Ecco quanto scrive il team di CERT AgID.
Di per sè innocui, il loro utilizzo rende più complesse le rilevazioni delle minacce; un simile espediente è stato già utilizzato nella campagna del mese di novembre 2020. Gli archivi ZIP sono un tipo di file spesso utilizzati nelle comunicazioni via PEC lecite (anche istituzionali) e pertanto non possono essere bloccate a priori dai Gestori. Al tempo stesso, le possibilità di annidamento degli archivi ZIP sono pressoché illimitate, creando un gioco al rimpiattino tra le misure di difesa implementate ed i trucchi messi in atto dagli attaccanti.
La compromissione del sistema avviene quando la vittima apre il file VBS messo a punto in modo da scaricare il payload PowerShell con BitsAdmin ed eseguirlo.
Campagna di malspam #sLoad via #PEC sfrutta allegato malevolo con doppio livello di compressione ZIPhttps://t.co/IyMRXF9KCU pic.twitter.com/fS6rm51QVR
— Cert AgID (@AgidCert) January 11, 2021
Curiosamente, solo pochi giorni fa Agenzia per l’Italia Digitale ha pubblicato un report in cui si afferma che ora la Posta Elettronica Certificata è più sicura, avendo rilevato una flessione significativa delle minacce inoltrate tramite PEC.