Il malware sLoad torna a colpire l’Italia prendendo di mira le caselle di posta elettronica certificata PEC appartenenti principalmente ad aziende italiane con ragione sociale S.r.l. ed S.n.c. mediante una massiccia campagna di malspam individuata dal Cert-AgID in collaborazione con il provider di Posta Elettronica Certificata Aruba.
Dalle evidenze ottenute finora è stato possibile stabilire che i messaggi malevoli risultano essere personalizzati con la ragione sociale e i riferimenti del destinatario: questo lascia presuppore che le PEC vengano inviate alle vittime utilizzando caselle PEC verosimilmente già compromesse.
Per rendere più credibile la truffa, anche l’oggetto del messaggio di posta elettronica certificata si riferisce ad una comunicazione effettivamente indirizzata al singolo destinatario: la prima parte del messaggio, che varia di volta in volta, coincide infatti con la ragione sociale dell’azienda, mentre nella seconda parte è riportata la stringa fissa – Fatture scadute.
Indice degli argomenti
I dettagli della nuova variante di sLoad
In allegato alle PEC malevoli c’è un file compresso in formato ZIP contenente il payload del malware sLoad. Dai campioni isolati di malspam si è scoperto che il nome dell’archivio può variare e, in alcuni casi, riporta anche il codice fiscale del destinatario.
Al suo interno un file VBS che, una volta aperto dall’utente, avvia la catena infettiva di sLoad.
Come prima operazione, il malware effettua una copia dei file eseguibili di sistema PowerShell e Bitsadmin: un escamotage che consente a sLoad di rendere più difficile la ricostruzione delle fasi di compromissione del sistema target. In particolare, lo script contenuto nel file VBS esegue queste due operazioni di copia dei file:
- c:WindowsSysWOW64WindowsPowerShellv1.0powershell.exe in %programdata%<nome_random>.exe;
- c:WindowsSysWOW64bi*.exe (viene usato l’asterisco in modo da non dichiarare esplicitamente il componente bitsadmin.exe) in %programdata%<nome_random>.exe.
Le due copie dei file vengono quindi utilizzate, rispettivamente, per completare le seguenti operazioni:
- bitsadmin.exe per scaricare il 2nd stage e salvarlo in %appdata%;
- powershell.exe per eseguire il contenuto del file appena scaricato.
Al momento non si hanno ulteriori evidenze su cosa succede nella fase successiva dell’infezione del sistema target. Poiché sLoad appartiene alla famiglia dei PowerShell downloader è però facile supporre che il malware compia altre tipiche operazioni come raccogliere informazioni sull’elenco dei processi in esecuzione, individuare la presenza del client di posta elettronica Microsoft Outlook, acquisire schermate e analizzare la cache DNS alla ricerca di domini specifici come quelli degli istituti bancari. E, ovviamente, scaricare altro codice malevolo sul sistema bersaglio.
Le altre varianti del malware sLoad identificate finora
Il malware sLoad non è una novità per gli esperti di cyber security. Già lo scorso gennaio aveva infettato, in poche ore, oltre 100.000 caselle di posta elettronica certificata.
In questa campagna di malspam gli attacchi venivano condotti mediante e-mail certificate dirette al personale amministrativo delle organizzazioni. Il testo del messaggio invitava loro a prendere visione della documentazione allegata contenente finti solleciti di pagamento.
In realtà, l’apertura dell’allegato avviava l’infezione del sistema con la variante di sLoad modificata per rimanere nascosta e silente mentre rubava informazioni e dati riservati della vittima, installava altri codici malevoli e attivava una backdoor che consentiva agli attaccanti di accedere da remoto alla rete locale a cui era collegato il computer compromesso.
I campioni di quella variante del malware sLoad isolati dai ricercatori di sicurezza hanno evidenziato che le finte PEC avevano come oggetto Sollecito Avviso N. CU69151275241 (ma il numero indicato poteva variare) e contenevano in allegato un archivio ZIP al cui interno erano presenti due file:
- un PDF malformato che, se aperto, causava un errore di visualizzazione inducendo l’utente ad aprire l’altro file;
- un file .vbs contenente lo script che avviava la catena infettiva del malware.
In particolare, l’esecuzione del file .vbs avviava il download di un altro script PowerShell da un server remoto che veniva memorizzato all’interno della cartella C:UsersPublicDocuments*.jpg e successivamente eseguito per iniziare l’infezione vera e propria della macchina target.
sLoad avviava, così, la sua opera malevola e, tra le altre cose, iniziava a trafugare tutti i file con estensione .ost archiviati nel percorso C:UsersUSER_NAMEAppDataLocalMicrosoftOutlook.
I messaggi, infine, erano scritti in un italiano quasi perfetto per dare maggiore credibilità ai contenuti.
A giugno del 2019, invece, sLoad prese di mira le PEC degli iscritti all’Ordine degli ingegneri di Roma, mentre un’altra campagna di diffusione fu identificata a luglio 2019 quando il malware diffuse finte comunicazioni che invitavano le vittime a consultare il sito dell’Agenzia per l’Italia Digitale per effettuare una verifica di autenticità sulla sua firma digitale.
Aprendo il file ZIP in allegato ai messaggi, la vittima del malspam si trovava davanti a due distinti file:
- comunicazione clientela.pdf
- comunicazione clientela.vbs
Anche in questo caso, provando ad aprire il file PDF veniva visualizzato un messaggio di errore in lettura dei contenuti. Ovviamente il documento è volutamente danneggiato per indurre l’utente ad aprire il secondo file in formato VBS. Così facendo, però, viene eseguito un codice malevolo PowerShell che visualizza il contenuto del file PDF e successivamente scarica e avvia il malware sLoad che si pone in modalità di ascolto in attesa di istruzioni dal server di controllo e comando (C&C) gestito dai criminal hacker.
Anche questa variante di sLoad, come quella che prese di mira le PEC dell’Ordine degli ingegneri di Roma, si distingue per le particolari tecniche di offuscamento del codice malevolo.
Subito dopo l’attivazione, il malware sLoad raccoglieva alcune informazioni tecniche relative alla macchina infettata tra cui il codice UUID (Universally Unique IDentifier, in italiano: identificativo univoco universale) e le inviava ad una URL che, presumibilmente, era utilizzata come server C&C.
Successivamente, effettuava una vera e propria schedulazione delle attività di download del codice aggiuntivo necessario al suo funzionamento.
In particolare, una di queste attività pianificate veniva creata utilizzando come nome i primi 6 caratteri dell’UUID ed è quella che, a cadenza temporale prefissata, eseguiva il codice malevolo del malware sLoad.
Come difendersi dal malspam
Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti di questa nuova campagna di malspam sono ben studiate ed è quindi facile cadere nella loro trappola.
Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.
Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.
Per contrastare il fenomeno è dunque necessario dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.
Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti.
Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
Articolo pubblicato in data 14 gennaio 2020 e 19 luglio 2019 e aggiornato in seguito alla scoperta della nuova variante del malware sLoad.
