Dopo la notevole quantita' di mails con contenuti a base di false news che linkavano a players e codec video fasulli, abbiamo adesso una mails che contiene un file eseguibile malware, zippato con doppia estensione doc + exe
Ecco la mail:
con un messaggio che ci informa dell'addebito sulla nostra carta di credito per l'acquisto online di un biglietto aereo.
Il messaggio prosegue informando che in allegato si trova il file doc con gli estremi del pagamento e il biglietto aereo stampabile.
Il file allegato
come si vede utilizza la doppia estensione che , nel caso dell'opzione attivata “nascondere estensioni conosciute di files” visualizzera' solo il .doc che unito al fatto dell'icona di word ingannera' meglio chi riceve la mail facendogli pensare di avere a che fare con un reale documento Word.
Il file eseguibile, una volta estratto, e sottoposto a Virus Total mostra che si tratta di un trojan che, nonostante appaia con data che ne indicherebbe la comparsa da almeno una decina di giorni
al momento di scrivere il post NON sembra riconosciuto da alcuni noti software AV (es.. TrendMicro,Symantec, McAfee)
Esaminando piu' in dettaglio i contenuti del file allegato si scopre che, una volta in esecuzione, tenta di connettersi a due indirizzi di rete dove scaricare ulteriori files eseguibili:
Il primo links, che punta a server con whois su
tenta di scaricare il file in alternativa da tre diversi indirizzi (per avere piu' fonti dove scaricare il file eseguibile nel caso uno dei server proposti fosse OFFline)
un file riconosciuto come
mentre il secondo links
con whois
propone questo file
non molto riconosciuto dai softwares in VT e che sembrerebbe a sua volta puntare a questo sito , per scaricare un falso antivirus:
Per quanto si riferisce agli indirizzi da cui il malware recupera i files eseguibili abbiamo differenti server locati in
Potrebbe trattarsi di server utilizzati appositamente allo scopo ma anche di semplici siti compromessi che hostano i files eseguibili;
In particolare
risulta gia' presente su blacklist come distributore di files malware.
Ed ecco un report che riassume parte dei files malware coinvolti in questa mail
Edgar
Nessun commento:
Posta un commento