Le prime e-mail sono state individuate dopo le ore 23:00 della giornata del 06/02/2022. La campagna, attualmente in corso, è mirata verso utenti PEC ed è volta a veicolare il malware sLoad solitamente utilizzato per esfiltrare credenziali di accesso a webmail e conti bancari. L’ultima campagna simile risale al 9 gennaio 2022 e le modalità sono ancora le stesse: 

•  i destinatari delle e-mail malevole hanno ricevuto una PEC con un allegato di tipo ZIP, con all’interno un file .PDF corrotto, un file .JPEG/.PNG corrotto e un file .WSF (loader); 

• il file ZIP ha come nome il seguente pattern “documenti-contab-<C.F|P.Iva>”; 

• il file .WSF (Leggimi.wsf) contiene un dropper che utilizza bitsadmin per il download del payload. 

Fonte: cert-agid.gov.it