Le prime e-mail sono state individuate dopo le ore 23:00 della giornata del 06/02/2022. La campagna, attualmente in corso, è mirata verso utenti PEC ed è volta a veicolare il malware sLoad solitamente utilizzato per esfiltrare credenziali di accesso a webmail e conti bancari. L’ultima campagna simile risale al 9 gennaio 2022 e le modalità sono ancora le stesse:
-
i destinatari delle e-mail malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .JPEG/.PNG corrotto e un file .WSF (loader);
-
il file ZIP ha come nome il seguente pattern “documenti-contab-<C.F|P.Iva>”;
-
il file .WSF (Leggimi.wsf) contiene un dropper che utilizza bitsadmin per il download del payload.
Fonte: cert-agid.gov.it