A partire dalla serata di domenica 26 gennaio è stata individuata una campagna di malspam che ha coinvolto centinaia di caselle PEC differenti, indirizzata ad utenti privati e pubblici, al fine di veicolare il malware sLoad.
La mail, che ha come oggetto “Copia Cortesia – PDF Fattura Numero RX49712669619“, – ma potrebbe variare il codice “fattura” come dimostra il tweet del ricercatore reecdeep -, riporta in allegato un file compresso (ZIP) all’interno del quale è presente un falso PDF e un file VBS.
Di seguito i file contenuti nella mail:
- copia-cortesia-fattura-numero-RX49712669619.zip
- copia-cortesia-fattura-numero-RX49712669619.pdf
- copia-cortesia-fattura-numero-RX49712669619.vbs
Dall’analisi del codice VBS si evince l’attività di download di un ulteriore file al momento non disponibile sul server di repository.