Nel corso delle consuete attività di monitoraggio ed analisi delle operazioni malevole che coinvolgono le infrastrutture PEC, il CERT-AgID ha individuato una campagna malware sLoad che, a differenza di quelle precedenti, utilizza una nuova tecnica per eludere i controlli sulle estensioni dei file contenuti negli archivi compressi ZIP allegati ai messaggi PEC.
Anche grazie alla collaborazione dei Gestori PEC tale campagna sLoad è stata prontamente contrastata mettendo in atto tutte le misure adeguate per identificare questo genere di minaccia.
Il malware sLoad
Come riportato già in passato dal CERT-AgID, gli attori malevoli dietro sLoad sfruttano principalmente il tema dei pagamenti e di fatture da pagare per la sua diffusione via PEC con comunicazioni prese da caselle e-mail reali e probabilmente compromesse in precedenza.
Gli allegati in formato .zip presenti, possono contenere file .lnk, .WSF, .VBS (caso di specie) come dropper.
In tutti i modi, l’azione principale del dropper è quella di eseguire il download di uno script Powershell tramite il servizio BitsAdmin (via HTTPS con una o più richieste GET) per installare ed eseguire il vero core di sLoad in una fase successiva.
Si riporta di seguito un frammento di codice preso da un altro esempio di repertorio.
La nuova tecnica di elusione
Nel caso di specie la nuova tecnica di elusione funziona:
- con qualsiasi servizio di posta elettronica che effettui controlli sulle estensioni dei nomi file presenti all’interno di archivi compressi;
- con tutte le estensioni di file (compresi anche gli eseguibili) contenuti all’interno di un archivio ZIP;
- solo con il software di decompressione standard di Windows e con WinRar che troncano sempre di default i punti e gli spazi trovati dopo l’estensione presente sul nome dei file. Non funziona con 7-Zip su Windows e con nessun tool di decompressione per ambienti Linux e MacOS.
In pratica come riportato in figura, il funzionamento della tecnica viene spiegata dagli esperti CERT-AgID prendendo come esempio l’allegato “FATT_060622CODICEFISCALE.zip” di una e-mail intercettata e appartenente alla campagna in oggetto.
“Il file presente nell’archivio ZIP è denominato “fisc.vbs. ” con un punto ed uno spazio finale. Dopo l’estrazione su una macchina Windows, utilizzando il decompressore standard di sistema, il nome del file viene automaticamente ripulito dal punto e da tutti gli spazi a seguito diventando così “fisc.vbs“, pronto per essere eseguito con un doppio click“.
Consigli
Sebbene la rimozione di SLoad risulti relativamente semplice, terminando ogni processo powershell e rimuovendo tutti i task che puntano all’interprete VBscript, ciò che deve destare preoccupazione è che con questa tecnica sia possibile veicolare tramite e-mail qualsiasi tipo di eseguibile (malevolo).
Pertanto restano sempre valide le seguenti best practice:
- Non aprire allegati o collegamenti Web presentati in e-mail irrilevanti e/o ricevute da indirizzi sconosciuti e sospetti (collegamenti Web e allegati devono essere aperti solo quando si è sicuri che siano sicuri);
- scaricare file e programmi solo da fonti ufficiali e affidabili, evitando siti Web non ufficiali, downloader e installazioni di terze parti;
- scansionare regolarmente il sistema operativo alla ricerca di minacce con software antivirus affidabili e tenuti sempre aggiornati.
Sono stati pubblicati tutti i dettagli degli IoC al momento rilevati.
Hai subito una truffa online? Vuoi segnalarci un reato o un sito Internet illegale nel clear o nel dark web? Scrivi alla nostra redazione.
