Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 1 Luglio 2023 08:31
A distanza di 2 mesi dall’ultima campagna, sLoad torna a colpire l’Italia con una campagna veicolata, come di consueto, tramite PEC.
La campagna ha avuto inizio poco dopo la mezzanotte del 28 giugno e ha diffuso a numerose caselle di posta elettronica certificata email che invitano i destinatari a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.
Come per la scorsa campagna, il file scaricato è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs e viene usato ancora una volta bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Subito dopo l’avvio dell’infezione l’indirizzo IP ed il nome della macchina della vittima sono registrate sul C2. Come è tipico delle TTP di sLoad, payload aggiuntivi saranno rilasciati successivamente e tipicamente hanno lo scopo di esfiltrare informazioni come le credenziali di posta.
Non avendo potuto ottenere il payload finale non è stato possibile effettuare analisi approfondite.
Si invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, potete inoltrare l’email a malware@cert-agid.gov.it
Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:
{
"65747648-6dc6-4b11-ae07-b00adb0e07fb": {
"event_id": 14738,
"created_at": "2023-06-28T09:18:35.682480+00:00",
"updated_at": "2023-06-28T10:39:48.288651+00:00",
"name": "Campagna sLoad",
"description": "E-mail in italiano avverte l'utente della disponibilit\u00e0 di una fattura di pagamento scaricabile tramite il link presente nell'e-mail. Il link fa scaricare uno ZIP con all'interno un VBS da cui parte l'infezione.",
"subject": "Ultima richiesta di pagamento per.|Comunicazione di sollecito per il pagamento della fattura a nome di.|Comunicazione di richiesta di pagamento per la fattura.|Ultima richiesta di pagamento finale.|Comunicazione di richiesta pagamento della fattura.|Manca",
"tlp": "0",
"campaign_type": "malware",
"method": "linked",
"country": "italy",
"file_type": [
"zip",
"vbs"
],
"theme": "Pagamenti",
"malware": "sLoad",
"phishing": null,
"via": "pec",
"tag": [],
"ioc_list": {
"md5": [
"633ee183388f5f27a0d55f3fc76f41fa",
"879605d30f36c196c5c3284ffec600da"
],
"sha1": [
"18edf3df055ab849f76f3f0172f4b30aadacdd0c",
"a4302b36aa78844dda9140bc62e656d0d6b2b5c1"
],
"sha256": [
"5337c9b7ed035dd4cf3425a5df9223ca4047b73b527206545b7751aa464211e6",
"a5b28b9fffa9fbd2a429526d019280200e24fbdc65a63e4e6adc72eb474d1f4e"
],
"imphash": [],
"domain": [
"tymeforchange.com",
"marsproductions.com"
],
"url": [
"http://195.123.247.39:8080/",
"https://tymeforchange.com/",
"https://marsproductions.com/"
],
"ipv4": [
"195.123.247.39"
],
"email": []
},
"email_victim": [],
"ioca_version": "1.0",
"organization": "cert-agid"
}
}
RedazioneIl mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
L’azienda giapponese Science ha lanciato una lavatrice per esseri umani. La capsula lunga 2,30 metri lava una persona in 15 minuti e ha suscitato notevole interesse all’Expo di Osaka concluso rece...
Airbus ha annunciato il richiamo di circa 6.500 aeromobili A320 a causa di potenziali guasti al sistema di controllo ELAC causati da potenti brillamenti solari. Il richiamo è avvenuto in seguito a un...
Questo articolo analizza la disclosure presentata a Microsoft e consultabile in inglese su digitaldefense, dove sono disponibili immagini, video dimostrativi e un esempio di codice Python. Negli ultim...
L’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
