Cosa sappiamo di #sLoad e perchè è così elusivo?

In questa analisi proponiamo di condividere le evidenze che abbiamo raccolto nel corso del tempo per cercare di far luce sulla natura di questo malware.

Indice degli argomenti
- La longevità
- Quali paesi colpisce?
- Come si diffonde?
- Come si presenta?
- Come si comporta?
  - Protezione del file da scaricare
  - Il powershell e la persistenza
  - Rimozione di sLoad
  - L’installer
  - Come lavora il core
  - La pazienza
- Quali payload abbiamo osservato?
- Sugli autori?

🔗 https://cert-agid.gov.it/news/cosa-sappiamo-di-sload-e-perche-e-cosi-elusivo/

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole di cui 51 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1050 indicatori di compromissione (IOC) individuati.

💣 #IoC 1050
🦠 #Malware 11 (famiglie)
🐟 #Phishing 18 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-19-25-febbraio-2022/

Campagna malspam volta a veicolare il malware #Emotet tramite falsa comunicazione #ANPAL (Agenzia Nazionale Politiche Attive del Lavoro)

Gli #IoC sono disponibili al seguente link 👇

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/emotet_anpal_02-03-2022.json_.txt

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 58 campagne malevole di cui 48 con obiettivi italiani e 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1314 indicatori di compromissione (IOC) individuati.

💣 #IoC 1314
🦠 #Malware 9 (famiglie)
🐟 #Phishing 20 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-febbraio-04-marzo-2022/

Campagna malspam volta a veicolare il malware #Ursnif tramite falsa circolare #MISE (Ministero Sviluppo Economico)

Gli #IoC sono disponibili al seguente link 👇 (aggiornamento ore 14:43)

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_07-03-2022.json_.txt

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 64 campagne malevole di cui 56 con obiettivi italiani ed 8 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 940 indicatori di compromissione (IOC) individuati.

💣 #IoC 940
🦠 #Malware 11 (famiglie)
🐟 #Phishing 23 (brand)

❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-05-marzo-11-marzo-2022/

Campagna malspam volta a veicolare il malware #Ursnif tramite falsa comunicazione #MISE (Ministero Sviluppo Economico)

Oggetto: Aiuti economici per gas e luce per piccole e medie imprese

Allegato: ZIP + HTA

Gli #IoC sono disponibili al seguente link 👇 (aggiornamento @ 11:13)

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_mise_15-03-2022.json_.txt

Ancora una campagna malspam volta a veicolare il malware #Ursnif tramite falsa comunicazione #MISE (Ministero Sviluppo Economico) e #AgenziaEntrate

Oggetto (MISE): Incentivi a fondo perduto per spese energetiche per piccole e medie imprese

Oggetto (AgenziaEntrate): Commissione parlamentare di osservanza sul registro tributario

Allegato: ZIP + HTA

Gli #IoC sono disponibili al seguente link 👇

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MISE_17-03-2022.json_.txt

Sintesi riepilogativa delle campagne malevole nella settimana del 12 marzo – 18 marzo 2022

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 69 campagne malevole di cui 66 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1493 indicatori di compromissione (IOC) individuati.

📈 Inaspettata crescita delle campagna #Emotet

💣 #IoC 1493
🦠 #Malware 12 (famiglie)
🐟 #Phishing 20 (brand)

❗️Tema d'eccezione #CyberWar per diramare gli IoC relativi all’emergenza Ucraina.

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-marzo-18-marzo-2022/

sLoad torna a colpire le PEC

A seguito di ulteriori analisi, frutto della collaborazione tra il CERT-AGID e i gestori PEC, è stata rilevata una nuova campagna malspam tramite PEC, volta a veicolare il malware sLoad (v.4.3.3), a partire dalle prime ore del mattino della data odierna.

Per le azioni di contrasto relative a questa campagna si riportano gli #IoC individuati 👇

🔗 https://cert-agid.gov.it/news/sload-torna-a-colpire-le-pec/

Campagna #Ursnif veicolata tramite falsa comunicazione #MiTE (Ministero Transizione Ecologica)

📎 Allegato: ZIP + HTA

✉️ Oggetto email:

22/03/2023
Adattamento obbligatorio problema energetico in Italia, come si dovrà comportare la vostra impresa

23/03/2023
Adeguamento obbligatorio crisi energetica in Italia, come si dovrà comportare la vostra attività

Gli #IoC sono disponibili al seguente link 👇

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/03/ursnif_MITE_22-23-03-2022.json_.txt

Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 25 marzo 2022

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 788 indicatori di compromissione (IOC) individuati.

❗️ Emotet – nonostante il calo rispetto alla scorsa settimana (28 campagne) Emotet è ancora il malware che ricopre la prima posizione per campagne mirate contro l’Italia nell’ultimo mese. L’ipotesi che per la sua dinamicità e versatilità sia diventato lo “strumento” preferito di nuovi IAB comincia a farsi sempre più concreta.

💣 #IoC 788
🦠 #Malware 9 (famiglie)
🐟 #Phishing 8 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-25-marzo-2022/

Sintesi riepilogativa delle campagne malevole nella settimana del 26 marzo – 1 aprile 2022

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 38 campagne malevole, di cui 36 con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1018 indicatori di compromissione (IOC) individuati.

❗️ Emotet – per la terza settimana consecutiva le campagne Emotet mirate contro l’Italia rappresentano indubbiamente la minaccia più insidiosa per la Pubblica Amministrazione e per le strutture private. Sono state osservate in tutto 11 campagne a tema “Resend”, “Documenti” e “Pagamenti” con allegati ZIP contenenti documenti XLSM o XLS utilizzati per scaricare DLL Emotet (epoch5). Alcuni C2 di Emotet sono stati ospitati anche su hosting italiano..

💣 #IoC 1018
🦠 #Malware 10 (famiglie)
🐟 #Phishing 6 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-marzo-1-aprile-2022/

Il CERT-AGID ha rilevato una applicazione per dispositivi Android con funzionalità di Trojan denominata "sicurezza-posteitaliane.apk" e finalizzata allo spionaggio remoto.

❗️ Trattasi di #SpyNote v.7.0 - proposto come app di sicurezza di #PosteItaliane - che dispone di un ampio set di funzionalità che consentono ai criminali di ottenere il controllo remoto del dispositivo Android compromesso:

- GPS
- Bluetooth
- Camera
- Microfono
- SMS
- Chiamate
- Contatti

Gli #IoC sono disponibili al seguente link:

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spynote_posteitaliane_08-04-2022.json_.txt

Sintesi riepilogativa delle campagne malevole nella settimana del 2 – 8 aprile 2022

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 27 con obiettivi italiani e 1 generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 638 indicatori di compromissione (IOC) individuati.

❗️ Emotet – campagne in calo ma sempre attivi per il target Italia.
❗️ SpyNote – RAT per dispositivi Android finalizzata allo spionaggio remoto.

💣 #IoC 638
🦠 #Malware 9 (famiglie)
🐟 #Phishing 11 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-aprile-2022/

Rilevata una campagna di natura italiana volta a distribuire un APK in grado di rubare gli SMS ma soprattutto di fare screen sharing.

❗️ Il malware, che ha come target i dispositivi Android italiani, già individuato in Italia il 12 e 23 febbraio 2022 dal CERT-AGID, non è stato ancora rilevato da altri produttori antivirus, per tale motivo è stato battezzato con il nome di #SmsControllo v1.28

Da ulteriori analisi emerge che le attività del sample in esame sono in corso dal 24 febbraio 2022 ad oggi.

Gli #IoC sono disponibili al seguente link:

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/smscontrollo_11-04-2022.json_.txt

Campagna #sLoad indirizzata ad account #PEC con allegati ZIP e VBS

🛡 Il C2 è già stato utilizzato nella campagna contrastata il 21 marzo 2022 e risulta in blocco nel Flusso IoC del CERT-AGID a tutela delle PA accreditate.

Gli #IoC sono disponibili al seguente link:

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/sload_11-04-2022.json_.txt

#Ursnif usa per la prima volta le proprietà del documento (doc) e le variabili d'ambiente per passare la dropurl

- shellcode (hex) 64bit -> DllLoaderShellcode
- shellcode (hex) 32bit -> DllLoaderShellcode
- dropurl (invertita)

Flusso di esecuzione tramite Macro:

Macro -> Shellcode -> RemoteDllLoader (embedded) -> Dropurl -> Run(Dll)

Ransomware "Spidey Bot" - Possibile test

- è scritto in batch
- genera una chiave numerica di tre numeri: tra 1 e 6 cifre ciascuno
- password generata con la bassa entropia di %random%
- invia tramite "curl" la chiave e lo username al C2 su Discord
- scarica un tool (lecito) AESCrypt ospitato su Dropbox
- cifra solo determinate cartelle dell'utente corrente
- rimuove i file originali, non li sovrascrive
- nella nota di riscatto mostra indirizzo BTC non valido

❗️NB:

- curl è presente di default solo su sistemi operativi Windows 10 o superiori
- la chiave viene inviata in chiaro ed è quindi rilevabile
- i file rimossi possono essere recuperati
- l'assenza di un reale indirizzo BTC e di un importo da pagare lascia presupporre si tratti di un test

Gli #IoC sono disponibili al seguente link 👇

🔗 https://cert-agid.gov.it/wp-content/uploads/2022/04/spideybot_15-04-2022.json_.txt

Sintesi riepilogativa delle campagne malevole nella settimana del 9 – 15 aprile 2022

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 2 generiche che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati.

❗️ SmsControllo – v1.28 in grado di rubare SMS ed effettuare Screen Sharing.
❗️ SpideyBot – ransomware (possibile test) che utlizza Discord per memorizzare la chiave e lo username della macchina compromessa.
❗️ Ursnif - sfrutta una nuova tecnica di evasione.

💣 #IoC 1257
🦠 #Malware 11 (famiglie)
🐟 #Phishing 15 (brand)

🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-aprile-2022/