Una nuova campagna in Italia ha utilizzato sLoad ed è stata veicolata tramite PEC
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Crowdstriker 970×120
320x100 Itcentric
Una nuova campagna in Italia ha utilizzato sLoad ed è stata veicolata tramite PEC

Una nuova campagna in Italia ha utilizzato sLoad ed è stata veicolata tramite PEC

Redazione RHC : 1 Luglio 2023 08:31

A distanza di 2 mesi dall’ultima campagna, sLoad torna a colpire l’Italia con una campagna veicolata, come di consueto, tramite PEC.

La campagna ha avuto inizio poco dopo la mezzanotte del 28 giugno e ha diffuso a numerose caselle di posta elettronica certificata email che invitano i destinatari a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.

Come per la scorsa campagna, il file scaricato è uno ZIP contenente un file VBS denominato FatturaXXXXXXX.vbs e viene usato ancora una volta bitsadmin per scaricare e lanciare un eseguibile (sLoad) da un dominio remoto.


Nuovo Fumetto Betti

CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? 
Conosci il nostro corso sul cybersecurity awareness a fumetti? 
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. 
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Subito dopo l’avvio dell’infezione l’indirizzo IP ed il nome della macchina della vittima sono registrate sul C2. Come è tipico delle TTP di sLoad, payload aggiuntivi saranno rilasciati successivamente e tipicamente hanno lo scopo di esfiltrare informazioni come le credenziali di posta.

Non avendo potuto ottenere il payload finale non è stato possibile effettuare analisi approfondite.

Azioni di contrasto

  • Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
  • Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.

Si invita a prestare sempre attenzione a questo genere di comunicazioni. Nel dubbio, potete inoltrare l’email a malware@cert-agid.gov.it

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

{
    "65747648-6dc6-4b11-ae07-b00adb0e07fb": {
        "event_id": 14738,
        "created_at": "2023-06-28T09:18:35.682480+00:00",
        "updated_at": "2023-06-28T10:39:48.288651+00:00",
        "name": "Campagna sLoad",
        "description": "E-mail in italiano avverte l'utente della disponibilit\u00e0 di una fattura di pagamento scaricabile tramite il link presente nell'e-mail. Il link fa scaricare uno ZIP con all'interno un VBS da cui parte l'infezione.",
        "subject": "Ultima richiesta di pagamento per.|Comunicazione di sollecito per il pagamento della fattura a nome di.|Comunicazione di richiesta di pagamento per la fattura.|Ultima richiesta di pagamento finale.|Comunicazione di richiesta pagamento della fattura.|Manca",
        "tlp": "0",
        "campaign_type": "malware",
        "method": "linked",
        "country": "italy",
        "file_type": [
            "zip",
            "vbs"
        ],
        "theme": "Pagamenti",
        "malware": "sLoad",
        "phishing": null,
        "via": "pec",
        "tag": [],
        "ioc_list": {
            "md5": [
                "633ee183388f5f27a0d55f3fc76f41fa",
                "879605d30f36c196c5c3284ffec600da"
            ],
            "sha1": [
                "18edf3df055ab849f76f3f0172f4b30aadacdd0c",
                "a4302b36aa78844dda9140bc62e656d0d6b2b5c1"
            ],
            "sha256": [
                "5337c9b7ed035dd4cf3425a5df9223ca4047b73b527206545b7751aa464211e6",
                "a5b28b9fffa9fbd2a429526d019280200e24fbdc65a63e4e6adc72eb474d1f4e"
            ],
            "imphash": [],
            "domain": [
                "tymeforchange.com",
                "marsproductions.com"
            ],
            "url": [
                "http://195.123.247.39:8080/",
                "https://tymeforchange.com/",
                "https://marsproductions.com/"
            ],
            "ipv4": [
                "195.123.247.39"
            ],
            "email": []
        },
        "email_victim": [],
        "ioca_version": "1.0",
        "organization": "cert-agid"
    }
}

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
888: il data-leaker seriale! L’outsider del darkweb che ha costruito un impero di dati rubati
Di Luca Stivali - 02/12/2025

Nel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...

Immagine del sito
Anatomia di una Violazione Wi-Fi: Dalla Pre-connessione alla Difesa Attiva
Di Francesco Demarcus - 02/12/2025

Nel contesto odierno, proteggere una rete richiede molto più che impostare una password complessa. Un attacco informatico contro una rete wireless segue un percorso strutturato che evolve dal monitor...

Immagine del sito
La verità scomoda sul DPO: il problema non è l’IT… è proprio lui!
Di Stefano Gazzella - 02/12/2025

Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumo...

Immagine del sito
Durov avverte: “È finita! Addio Internet libero” — L’urlo che sta facendo tremare l’Europa
Di Sandro Sana - 02/12/2025

Il post 462 del canale ufficiale di Durov ha attivato subito la “modalità urlo”: “Fine dell’internet libero. L’internet libero sta diventando uno strumento di controllo”. Niente auguri pe...

Immagine del sito
Nuova ondata di PhaaS: KrakenBite lancia 5 pagine false per banche marocchine
Di Redazione RHC - 01/12/2025

Il mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...