Il Cert, sempre attivo nel vigilare sui rischi per la cybersecurity, comunica che è stata rilevata, ed è ancora in fase di contrasto, una campagna malspam sLoad a tema “Pagamenti” che ha come oggetto Fattura [RAGIONE SOCIALE].
La campagna è veicolata via PEC verso altri utenti PEC e fa uso di un allegato ZIP contenente un ulteriore file ZIP.
All’interno del secondo ZIP sono presenti due file: uno in formato VBS e l’altro XML.
La campagna malevola ha avuto inizio nella giornata di ieri 10/01/2021 alle ore 22:44 ed è terminata questa mattina alle ore 07:45.
Di per sè innocui per la cybersecurity, l’utilizzo di file ZIP rende più complesse le rilevazioni delle minacce; un simile espediente è stato già utilizzato nella campagna del mese di novembre 2020.
Gli archivi ZIP sono un tipo di file spesso utilizzati nelle comunicazioni via PEC lecite (anche istituzionali) e pertanto non possono essere bloccate a priori dai Gestori.
Al tempo stesso, le possibilità di annidamento degli archivi ZIP sono pressocchè illimitate, creando un gioco al rimpiattino tra le misure di difesa implementate ed i trucchi messi in atto dagli attaccanti.
Tuttavia i casi di elusione delle restrizioni di sicurezza (messe in atto dai Gestori con la collaborazione di AgID) rimangono al momento per fortuna basse: questo è solo il secondo andato a buon fine nell’ultimo quadrimestre.
Ad ogni modo, in questi casi, l’aggiornamento dei sistemi di rilevazione risulta semplice ed immediato.
L’infezione ha inizio nel momento in cui la vittima clicca sul file VBS che ha il compito di scaricare il payload PowerShell con BitsAdmin ed eseguirlo.
