Nuove Operazioni di Attacco sLoad

Proto: N030120 .

Con la presente Yoroi desidera informarLa riguardo a nuove operazioni di attacco ai danni di Aziende e Utenti italiani. Gli attacchi si manifestano attraverso email di posta elettronica certificata (PEC) diretti al personale amministrativo delle organizzazioni, invitando le vittime a visionare la documentazione allegata contenente finti solleciti di pagamento. 

Figura. Esempio messaggio PEC malevolo

L’archivio allegato alle comunicazioni è in realtà in grado di infettare la macchina bersaglio con impianti malware della famiglia sLoad (TH-163), capace di rimanere silente all’interno del sistema, trafugare dati, installare ulteriore malware e fornire accesso backdoor alle reti locali.

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

  • Malspam:
    • Oggetto:
      • “Sollecto Avviso N. NB29207528655” (o similari)
    • Mittente:
      • Molteplici Indirizzi PEC
    • Allegato:
      • sollecito-avviso-NB29207528655.zip  (o similari)
  • Dropurl:
    • hxxp://cambodiaswimmingpools[.com/doprena/NB29207528655.jpg
    • cambodiaswimmingpools[.com
    • clubdeajedrezmatamoros[.com
    • cambodiaswimmingpools[.com
    • cafebellissimo[.com
  • C2 (sload): 
    • hxxps://hnerert[.eu/topic/main.php?ch=1&i=
    • hxxps://nweryh[.eu/topic/main.php?ch=1&i=
    • hnerert[.eu
    • nweryh[.eu
  • Hash:
    • 1066074c9ffbf2a0e8da1b81fa859b89745966ab0c1815bdd112e1baabf478c4  
    • f15584d46569c7ba623fe6746195267937c0b3e72a6ffab42960f317246c45c 
    • 7d3c3ce5ecfdf3389c53055eb7c89e38dcf37854b177fb112bf3c222f053e380 
    • 3ca39b434abe195222b54bee8b3a8259cef2bf05feb344c812af8afb371e3c48
    • f4e4ed0ebfa701ca83ac61a087b5bd9f40091396eb56e4a94ab461e0948990af
    • 894f7e37d32b26117cc0e9d217677ca4994e97e3c206d60d220e816eadf63b05
    • 92aac60fe386b593ad98a632a60853d8072de5b8abe280e988e5f9afccd6b71f
  • Persistenza:
    • %Public%\Documents\<RANDOM_CHARS>.jpg
    • %APPDATA%\SearchIndexer\
    • Scheduled Task “S001AB46C1” (o similari)

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index