È proprio di questa settimana la segnalazione fatta dal CSIRTin merito ad una doppia campagna orientata alla distribuzione del malware sLoad (noto anche come StarsLord), particolarmente insidiosa e che utilizza caselle di posta elettronica certificata (PEC) con un’elevata personalizzazione dei messaggi e l’impiego di allegati con alta capacità di evasione dalle protezioni antivirus.
Il malware Sload
SLoad è il nome di un software malevolo che funziona come downloader/dropper di malware. Le varie ricerche condotte mostrano che i criminal hacker diffondono sLoad tramite campagne malspam, ovvero attraverso gli allegati dannosi ai messaggi di posta elettronica. Questo malware concepito per i sistemi Windows è capace inoltre di raccogliere informazioni di sistema e inviarle a un server di comando e controllo remoto e presidiato (C2), dal quale riceve anche dei comandi. La comunicazione con il suo server C2 avviene, solitamente, per il tramite del servizio BITS che Windows utilizza invece legittimamente per inviare aggiornamenti del sistema operativo.
sLoad appartenendo alla famiglia dei PowerShell downloader è capace in particolare di carpire informazioni riguardo agli elenchi dei processi in esecuzione e alla presenza di client di posta elettronica Microsoft Outlook oltreché acquisire screenshot, analizzare le cache DNS alla ricerca di domini specifici e eseguire il download di altri possibili payload come trojan o ransomware.
L’attacco rilevato in Italia
Secondo il CSIRT, le due campagne massive in corso e tra loro molto simili mirano a diffondere, da caselle PEC verosimilmente compromesse, il malware SLoad tramite un allegato .vbs (“Allegato_XXXXXXXXXXX”) contenuto in archivi compressi con estensione .zip, dove la parte del nome variabile riporta, a seconda delle varianti, un codice numerico o il codice fiscale del destinatario.
Il messaggio e l’oggetto delle missive PEC
In tutti i casi, i messaggi dei campioni PEC esaminati risultano personalizzati con la ragione sociale ed i riferimenti di determinate aziende italiane (S.r.l. S.n.c) e sollecitano a prendere visione di una fattura insoluta emessa in formato elettronico o addirittura a stamparla su carta per l’efficacia fiscale. Anche l’oggetto è formulato in modo ingannevole. La prima parte variabile che coincide con la ragione sociale dell’azienda è seguita dalla stringa fissa “- Fatture scadute”.
La catena d’infezione
Il file di script .vbs, una volta eseguito avvia la catena d’infezione copiando i due eseguibili di sistema powershell.exe e bitsadmin.exe dalle loro directory legittime (rispettivamente c:\Windows\SysWOW64\WindowsPowerShell\v1.0\ e c:\Windows\SysWOW64\) nella directory nascosta %programdata% di Windows, rinominandoli successivamente con un nome casuale in modo da rendere più complessa un’eventuale ricostruzione della catena d’infezione.
Nel dettaglio, spiegano gli analisti del CSIRT, i due file binari copiati e rinominati vengono quindi utilizzati come segue:
- bitsadmin.exe per scaricare il file di secondo stadio e salvarlo nella cartella nascosta %appdata%;
- powershell.exe per eseguire il contenuto del file appena scaricato.
Come difendersi
Non è la prima volta che i criminal hacker diffondono sLoad tramite campagne di spam, inviando e-mail che contengono un allegato malevolo nella speranza che qualcuno lo apra, e molto probabilmente non sarà nemmeno l’ultima. Nella fattispecie le e-mail PEC includono, come visto, un file di archivio .zip che contiene al suo interno un file di scripting dannoso (.vbs, .vbe, .wsf, .wsc), ma i file che di solito vengono propinati come allegati malevoli possono essere anche documenti .doc, PDF, file eseguibili .exe o JavaScript.
I casi in esame rappresentano dei tentativi di truffa, che dimostrano ancora una volta come il problema, talvolta, non risieda nei sistemi di sicurezza (in questo caso delle PEC) quanto piuttosto nella scarsa gestione e conservazione delle credenziali da parte dei titolari (anch’essi vittime) le cui identità digitali violate vengono, successivamente, utilizzate in modo non autorizzato come mittenti in campagne di questo tipo.
Per tale motivo è altamente consigliato a tutti gli utenti e organizzazioni, per far fronte a questa tipologia di attacchi, di verificare scrupolosamente le e-mail che si ricevono eseguendo anche degli accorgimenti ulteriori di carattere pratico:
- Non aprire allegati o link web presentati in e-mail (anche se PEC) irrilevanti o ricevute da indirizzi sconosciuti e sospetti;
- caricare file e programmi da fonti ufficiali, evitando downloader/installer di terze parti non affidabili;
- scansionare regolarmente i propri sistemi operativi alla ricerca di minacce con antivirus o antispyware affidabili e tenuti aggiornati;
- evitare di abilitare l’esecuzione delle macro nel caso di allegati Microsoft Office apparentemente legittimi;
- fornire periodiche sessioni di formazione finalizzate a riconoscere le possibili e-mail di phishing, alfine di assimilare questi concetti e prendere coscienza che gli atti criminosi possono concretizzarsi anche attraverso gli strumenti informatici.