Ondate di Attacco sLoad Tramite PEC

Proto: N050420.

Con la presente Yoroi desidera informarla riguardo alla recente scoperta di ondate di attacco dirette ad utenze ed organizzazioni italiane. Le email fraudolente sono recapitate alle caselle di posta elettronica certificata (PEC) ed invitano la vittima all’apertura di un archivio zip ad esse allegato. Al suo interno, è presente un documento PDF corrotto appositamente piazzato per indurre l’utente al lancio del secondo file inserito nell’archivio: uno script eseguibile VBScript in grado di mettere in esecuzione un impianto malware della famiglia sLoad, minaccia tracciata da CERT-Yoroi come TH-163.  

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

• Malspam:
  • fattura-cf-<CHARS>.zip
  • <COMPANY> - Documento contabile c.f. <CHARS>
• Dropurl:
  • hxxps:// nephemp .com/neplod/QRNLIO33R65B034I.avi 
  • hxxps:// nephemp .com/neplod/02581650393.jpg
  • hxxps:// tokenradio .com/tictok/12858901007.jpg
  • hxxps:// zoomovers .com/momo/PRVMMN71A56C351W.jpg
  • hxxps:// nephemp .com/neplod/02581650393.jpg
  • hxxps:// zoomovers .com/momo/01752930972.gif
  • hxxps:// nephemp .com/neplod/02581650393.jpg
  • hxxps:// tokenradio .com/tictok/12858901007.jpg
  • hxxps:// woodlandislamiccenter .com/disop/10441600961.zip
  • woodlandislamiccenter. com
  • zoomovers. com
  • nephemp .com
  • tokenradio .com
  • 46.21.147 .162
• C2 (sload): 
  • hxxps://joplock .eu/topic/
  • hxxps://zarwrite .eu/topic/
  • hxxps://nonosink .eu/topic/
  • joplock .eu
  • zarwrite .eu
  • merfan. eu
  • lookf2 .eu
  • nonosink .eu
  • keepm. eu
  • lookf. eu
  • utywrg. eu
  • merth. eu
  • pivpot .eu
  • 87.251.77 .98
• Hash:
  • b62252dd91afcd2de262e755619fdbb631d4cd08861c0fd9b674f827218dffd8
  • d44650431d320fe9dbf2b4383993bd63526b1171a5ccc67a132c336aecf8616c
  • 2eb072317167989e2375117305d7afe5868d3e4054130704afebf5f7a680fded
  • a932edacea4e8e62f108c071e189a0a766b483e52197db84008e294b5f28a291
  • 649c19d8ffc515b557fbbf0faa872eee5c7fd5679b937a2a254ab80658813e36
  • 2eb072317167989e2375117305d7afe5868d3e4054130704afebf5f7a680fded

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index