Campagna di Attacco sLoad verso PEC Italiane

Proto: N040619.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna di attacco ai danni di Organizzazioni ed Aziende italiane. L’ondata di email fraudolente simula l’invio di documenti di fatturazione verso le caselle di Posta Elettronica Certificata aziendali. All’interno di questi messaggi sono presenti link volti allo scaricamento di file malevoli, nella fattispecie archivi in grado di infettare le vittime con impianti della famiglia sLoad, minaccia in grado di intercettare digitazioni utente e permettere l’installazione di ulteriori malware.

Figura. Esempio messaggio di posta malevolo

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto: “Emissione Fattura <CODICE>”
    • Sorgente: Caselle PEC (e.g. @pec.it, @legalmail.it, etc.. )
  • Dropurl (Pattern “/documento_certificato/*” su HTTPS):
    • agilebeats.[com
    • alberta-davidson[.com
    • americangoatfederation[.com
    • areabasics.[com
    • atonceegypt[.com
    • bdsm-training[.com
    • behemothadvertising[.com
    • belgrade4u.[com
    • berkeleytaylorconsultants.[com
    • cinematicleo[.com
    • citilamp.[com
    • decorretouch[.com
    • drapermerch.[com
    • easthamorg.[com
    • e-gency.[com
    • hellokittyvietnam.[com
    • implantrefer.[com
    • jimifox.[com
    • kelleyrecording.[com
    • kitapplatformu.[com
    • libreko.[com
    • marionettedesigns.[com
    • mdcreativevision.[com
    • metaphysicalstores[.com
    • misedocs[.com
    • moresaleswithai.[com
    • mullinsbeach[.com
    • myvahine[.com
    • nanolayercoatings.[com
    • nothinbutsports.[com
    • nuvenn[.com
    • nycloot[.com
    • olxtree.[com
    • openofficelight[.com
    • ourinnerhealth[.com
    • petperksandstuff[.com
    • phobosstudio[.com
    • phunctions.[com
    • piramal-usa.[com
    • pratapsinhpatil.[com
    • princewilliamcountylife.[com
    • revofine.[com
    • safariarmy[.com
    • silentbidder[.com
    • staceymorse.[com
    • ta-meyer.[com
    • tcjwelding[.com
    • thepicturecafe[.com
    • thetomatokitchen.com
    • topcreditloans[.com
    • trailerhireonline[.com
    • truganics.[com
    • villasencancun.[com
    • wakeupcalluk[.com
    • watchgq.[com
    • wbhrconsultants[.com
    • webberwebsites[.com
    • webshops-linux[.com
    • wickedelve[.com
    • wtxhemp[.com
    • 91.218.127[.58

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index