Nuova Campagna di Attacco sLoad

Proto: N020419.

Con la presente Yoroi desidera informarLa relativamente ad una estesa campagna di attacco rivolta ad aziende ed utenze italiane. Le email fraudolente contengono allegati in formato HTML i quali, una volta aperti, invitano allo scaricamento di un archivio compresso capace di infettare la macchina con una pericolosa backdoor della famiglia sLoad, in grado di intercettare digitazioni utente e permettere l’installazione di ulteriori impianti malware.

L’ondata d'attacco intercettata suggerisce un potenziale rinnovo delle operazioni malevole della minaccia sLoad tracciata internamente come TH-163, oggetto dell’articolo di approfondimento tecnico “The sLoad Threat is Expanding to Italy”.

Di seguito si riportano gli indicatori di compromissioni estratti durante le investigazioni:

• Malspam:
  • Oggetto: “copia di cortesia fattura” (o varianti)
  • Allegato: “fattura.html”
• Dropurl:
  • Formati:
    • “hxxps: //<NOME A DOMINIO>/.serviziweb/avviso-clientela-<CODICE>”
    • “hxxps: //<NOME A DOMINIO>/.portale/avviso-clientela-<CODICE>”
    • “hxxps: //<NOME A DOMINIO>/area_documenti/avviso-clientela-<CODICE>”
    • “hxxps: //<NOME A DOMINIO>/.aggiornamenti/avviso-clientela-<CODICE>”
  • hxxps: //resellrightscreator[.com/.serviziweb/avviso-clientela-I742054
  • hxxps: //areariservata.alleycathydroponics.]com/.portale/avviso-clientela-FG3557
  • hxxps: //discoversolarpower.]com/.serviziweb/avviso-clientela-NS1186966
  • hxxps: //areariservata.english2helpu.]com/portaleclientela/avviso-clientela-00562567
  • hxxps: //thechosenrub.]com/.serviziweb/avviso-clientela-U51028
  • hxxps: //assistenza.startourschi.]com/.portale/avviso-clientela-000930934
  • hxxps: //cloud.spiritcation.]com/.portale/avviso-clientela-P6644%20
  • hxxps: //areariservata.rhohost.]com/.portale/avviso-clientela-UT2825
  • hxxps: //areariservata.vendeycompradetodo.]com/.portale/avviso-clientela-T4000
  • hxxps: //assistenza.happybeatmaking.]com/scarica-documenti/avviso-clientela-0092115890
  • hxxps: //assistenza.dentistsseattlewa.]com/portaleclientela/avviso-clientela-0028038054
  • hxxps: //cloud.flamebarandgrill.]com/portaleclientela/avviso-clientela-00731889
  • hxxps: //assistenza.poddiva.]com/portaleclientela/avviso-clientela-0011876982
  • hxxps: //areariservata.vipsfollowingleadership.]com/portaleclientela/avviso-clientela-0051299719
  • hxxps: //areariservata.17025-accreditation.]com/
  • hxxps: //serviziweb.bodagadelsantek.]com/scarica-documenti/avviso-clientela-007998
  • hxxps: //areariservata.anniversaryguides.]com/area_documenti/avviso-clientela-000678984
  • hxxps: //areariservata.astrolivia.]com/.aggiornamenti/avviso-clientela-00074017957
  • hxxps: //serviziweb.adventureswithangelsnextdoor.]com/scarica-documenti/avviso-clientela-00893005
  • hxxps: //help.opticlink.]com/scarica-documenti/avviso-clientela-0034000
  • hxxps: //areariservata.hvacprosgreensboro.]com/.aggiornamenti/avviso-clientela-00091964
  • hxxps: //help.flutterlashstudios.]com/.aggiornamenti/avviso-clientela-00036138719
  • hxxps: //areariservata.arprop.]com/.aggiornamenti/avviso-clientela-0003583331
  • hxxps: //assistenza.anniversaryguides.]com/.aggiornamenti/avviso-clientela-000634537
  • hxxps: //cloud.correctivepixels.]com/.aggiornamenti
  • hxxps: //areaclienti.17025-accreditation.]com/.aggiornamenti/avviso-clientela-000976137
  • hxxps: //resellrightscreator.]com/.serviziweb/avviso-clientela-I742054
  • hxxps: //hotxm90.]com/.serviziweb/avviso-clientela-CR01391
• C2 (sload):
  • hxxps: //casefinity[.com/olnbsplafi/mdilsova
  • casefinity[.com
  • 91.109.115[.170
• Hash
  • c17a4edd15f021da4aab09ce3d2c36d727336ec0d96f1707a459ca53758a41cd

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index