Nuova Campagna di Attacco sLoad

Proto: N020419.

Con la presente Yoroi desidera informarLa relativamente ad una estesa campagna di attacco rivolta ad aziende ed utenze italiane. Le email fraudolente contengono allegati in formato HTML i quali, una volta aperti, invitano allo scaricamento di un archivio compresso capace di infettare la macchina con una pericolosa backdoor della famiglia sLoad, in grado di intercettare digitazioni utente e permettere l’installazione di ulteriori impianti malware.

Figura. Esempio messaggio malevolo

L’ondata d’attacco intercettata suggerisce un potenziale rinnovo delle operazioni malevole della minaccia sLoad tracciata internamente come TH-163, oggetto dell’articolo di approfondimento tecnico “The sLoad Threat is Expanding to Italy”.

Di seguito si riportano gli indicatori di compromissioni estratti durante le investigazioni:

  • Malspam:
    • Oggetto: “copia di cortesia fattura” (o varianti)
    • Allegato: “fattura.html”
  • Dropurl:
    • Formati:
      • “hxxps: //<NOME A DOMINIO>/.serviziweb/avviso-clientela-<CODICE>”
      • “hxxps: //<NOME A DOMINIO>/.portale/avviso-clientela-<CODICE>”
      • “hxxps: //<NOME A DOMINIO>/area_documenti/avviso-clientela-<CODICE>”
      • “hxxps: //<NOME A DOMINIO>/.aggiornamenti/avviso-clientela-<CODICE>”
    • hxxps: //resellrightscreator[.com/.serviziweb/avviso-clientela-I742054
    • hxxps: //areariservata.alleycathydroponics.]com/.portale/avviso-clientela-FG3557
    • hxxps: //discoversolarpower.]com/.serviziweb/avviso-clientela-NS1186966
    • hxxps: //areariservata.english2helpu.]com/portaleclientela/avviso-clientela-00562567
    • hxxps: //thechosenrub.]com/.serviziweb/avviso-clientela-U51028
    • hxxps: //assistenza.startourschi.]com/.portale/avviso-clientela-000930934
    • hxxps: //cloud.spiritcation.]com/.portale/avviso-clientela-P6644%20
    • hxxps: //areariservata.rhohost.]com/.portale/avviso-clientela-UT2825
    • hxxps: //areariservata.vendeycompradetodo.]com/.portale/avviso-clientela-T4000
    • hxxps: //assistenza.happybeatmaking.]com/scarica-documenti/avviso-clientela-0092115890
    • hxxps: //assistenza.dentistsseattlewa.]com/portaleclientela/avviso-clientela-0028038054
    • hxxps: //cloud.flamebarandgrill.]com/portaleclientela/avviso-clientela-00731889
    • hxxps: //assistenza.poddiva.]com/portaleclientela/avviso-clientela-0011876982
    • hxxps: //areariservata.vipsfollowingleadership.]com/portaleclientela/avviso-clientela-0051299719
    • hxxps: //areariservata.17025-accreditation.]com/
    • hxxps: //serviziweb.bodagadelsantek.]com/scarica-documenti/avviso-clientela-007998
    • hxxps: //areariservata.anniversaryguides.]com/area_documenti/avviso-clientela-000678984
    • hxxps: //areariservata.astrolivia.]com/.aggiornamenti/avviso-clientela-00074017957
    • hxxps: //serviziweb.adventureswithangelsnextdoor.]com/scarica-documenti/avviso-clientela-00893005
    • hxxps: //help.opticlink.]com/scarica-documenti/avviso-clientela-0034000
    • hxxps: //areariservata.hvacprosgreensboro.]com/.aggiornamenti/avviso-clientela-00091964
    • hxxps: //help.flutterlashstudios.]com/.aggiornamenti/avviso-clientela-00036138719
    • hxxps: //areariservata.arprop.]com/.aggiornamenti/avviso-clientela-0003583331
    • hxxps: //assistenza.anniversaryguides.]com/.aggiornamenti/avviso-clientela-000634537
    • hxxps: //cloud.correctivepixels.]com/.aggiornamenti
    • hxxps: //areaclienti.17025-accreditation.]com/.aggiornamenti/avviso-clientela-000976137
    • hxxps: //resellrightscreator.]com/.serviziweb/avviso-clientela-I742054
    • hxxps: //hotxm90.]com/.serviziweb/avviso-clientela-CR01391
  • C2 (sload):
    • hxxps: //casefinity[.com/olnbsplafi/mdilsova
    • casefinity[.com
    • 91.109.115[.170
  • Hash
    • c17a4edd15f021da4aab09ce3d2c36d727336ec0d96f1707a459ca53758a41cd

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

One thought on “Nuova Campagna di Attacco sLoad”

Comments are closed.