Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
TM RedHotCyber 970x120 042543
Crowdstrike 320×100
Una nuova campagna in Italia ha utilizzato sLoad ed è stata veicolata tramite PEC

Una nuova campagna in Italia ha utilizzato sLoad ed è stata veicolata tramite PEC

Redazione RHC : 1 Luglio 2023 08:31

A distanza di 2 mesi dall’ultima campagna, sLoad torna a colpire l’Italia con una campagna veicolata, come di consueto, tramite PEC.

La campagna ha avuto inizio poco dopo la mezzanotte del 28 giugno e ha diffuso a numerose caselle di posta elettronica certificata email che invitano i destinatari a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.

Come per la scorsa campagna, il file scaricato è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs e viene usato ancora una volta bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.


RHC0002 CTIP Corso Dark Web Cyber Threat Intelligence

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Subito dopo l’avvio dell’infezione l’indirizzo IP ed il nome della macchina della vittima sono registrate sul C2. Come è tipico delle TTP di sLoad, payload aggiuntivi saranno rilasciati successivamente e tipicamente hanno lo scopo di esfiltrare informazioni come le credenziali di posta.

Non avendo potuto ottenere il payload finale non è stato possibile effettuare analisi approfondite.

Azioni di contrasto

  • Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
  • Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.

Si invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, potete inoltrare l’email a malware@cert-agid.gov.it

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

{
    "65747648-6dc6-4b11-ae07-b00adb0e07fb": {
        "event_id": 14738,
        "created_at": "2023-06-28T09:18:35.682480+00:00",
        "updated_at": "2023-06-28T10:39:48.288651+00:00",
        "name": "Campagna sLoad",
        "description": "E-mail in italiano avverte l'utente della disponibilit\u00e0 di una fattura di pagamento scaricabile tramite il link presente nell'e-mail. Il link fa scaricare uno ZIP con all'interno un VBS da cui parte l'infezione.",
        "subject": "Ultima richiesta di pagamento per.|Comunicazione di sollecito per il pagamento della fattura a nome di.|Comunicazione di richiesta di pagamento per la fattura.|Ultima richiesta di pagamento finale.|Comunicazione di richiesta pagamento della fattura.|Manca",
        "tlp": "0",
        "campaign_type": "malware",
        "method": "linked",
        "country": "italy",
        "file_type": [
            "zip",
            "vbs"
        ],
        "theme": "Pagamenti",
        "malware": "sLoad",
        "phishing": null,
        "via": "pec",
        "tag": [],
        "ioc_list": {
            "md5": [
                "633ee183388f5f27a0d55f3fc76f41fa",
                "879605d30f36c196c5c3284ffec600da"
            ],
            "sha1": [
                "18edf3df055ab849f76f3f0172f4b30aadacdd0c",
                "a4302b36aa78844dda9140bc62e656d0d6b2b5c1"
            ],
            "sha256": [
                "5337c9b7ed035dd4cf3425a5df9223ca4047b73b527206545b7751aa464211e6",
                "a5b28b9fffa9fbd2a429526d019280200e24fbdc65a63e4e6adc72eb474d1f4e"
            ],
            "imphash": [],
            "domain": [
                "tymeforchange.com",
                "marsproductions.com"
            ],
            "url": [
                "http://195.123.247.39:8080/",
                "https://tymeforchange.com/",
                "https://marsproductions.com/"
            ],
            "ipv4": [
                "195.123.247.39"
            ],
            "email": []
        },
        "email_victim": [],
        "ioca_version": "1.0",
        "organization": "cert-agid"
    }
}

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Simulazioni di Phishing: 5 consigli per evitare i falsi positivi dal CERT-AgID
Di Redazione RHC - 26/11/2025

Sempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...

Immagine del sito
WormGPT e KawaiiGPT Migliorano! Le “AI del male” sono un’arma per i cybercriminali
Di Redazione RHC - 26/11/2025

I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...

Immagine del sito
L’Europa si ribella: “Basta Microsoft”. Il Parlamento punta alla sovranità tecnologica
Di Redazione RHC - 26/11/2025

Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...

Immagine del sito
Shakerati Anonimi: la storia di Marco e il “prezzo” della Fiducia
Di Redazione RHC - 26/11/2025

Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegato amministrativo in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...

Immagine del sito
Gli USA puntano tutto sulla “scienza automatica”. Al via la Missione Genesis: più AI e meno persone
Di Redazione RHC - 26/11/2025

Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...