Vedere gli aggiornamenti al 21 febbraio 2012 su questo post e su questo.
Altri aggiornamenti agosto 2012 qui e qui
Altri aggiornamenti agosto 2012 qui e qui
------------------------------------------------------
AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti dai contenuti poco affidabili (possibile presenza di malware, exploit ecc....) ed al momento sconosciuti a VT e che vanno quindi visitati solo se si conosce quello che si sta facendo.Ecco alcune mails ricevute questa mattina, che sembrano prefigurare una notevole campagna di phishing che sfrutterebbe riferimenti a banca Monte Parma e specificatamente alla denominazione del servizio pubblicizzato come 'Monte BIZ'
In effetti parte delle mails portano un testo abbastanza generico sia nell'oggetto che nel corpo del messaggio, dove i riferimenti a 'Monte BIZ' sono poco evidenti.
Anche gli stessi links ad eseguibile puntano a differenti siti probabilmente compromessi e di cui almeno uno al momento pare non distribuire il file zip linkato.
Ad esempio:
con testo generico nell'oggetto 'Informa l'autorita fiscale'
Altra mail con messaggio, scritto in buon italiano, che parrebbe fare invece esplicito riferimento a Monte BIZ che potremmo identificare come quello relativo al servizio pubblicizzato da Banca Monte Parma
Altra mail dal testo piu' generico riferito comunque sia nell'oggetto che nei dettagli telefonici ad un conto Monte BIZ
Tutte le mails presentano links (che parrebbero contenere anche riferimenti specifici al destinatario dei messaggi) a file zip
ospitato ad esempio su sito Usa probabilmente compromesso oppure sito con whois AU (Australia).
Questo un dettaglio del file zip scaricato che apparentemente mostra contenere un file .doc.
Fin qui niente di particolare e neanche la visualizzazione di una eventuale doppia estensione, cosa che invoglia a cliccare sul .doc ricevuto , ottenendo
Come si vede in realta' siamo di fronte ad un eseguibile con doppia estensione !!!, ben mascherato, ma la cosa interessante e' che non solo si e' usato lo stratagemma di avere un .doc.exe (doppia estensione) ma si e anche creato un lungo nome di file, che in condizioni di dimensionamento normale di una finestra Windows a video, rende impossibile vedere l'estensione .exe.
Ridimensionando infatti la finestra del programma winzip si nota
Per quanto si riferisce ai contenuti, e cioe' il file informa.doc_________.exe una analisi VT mostra ben poco
con report
e riconoscimento nullo di eventuali contenuti malevoli.
Ci troveremmo quindi di fronte, se di malware si tratta, ad un file dai contenuti pericolosi praticamente sconosciuto ai software AV almeno a livello di report VT.
Proviamo quindi ad analizzare l'eseguibile con Anubis e ThreatExpert ottenendo:
Per quanto riguarda Anubis abbiamo in particolare un report che indica dei nomi di files creati che parrebbero essere riconducibili a malware
ad esempio con stesso nome di file segnalato da Prevx
Inoltre si denota una attivita' di rete con ad esempio link a file .bin
In definitiva parerebbe trattarsi questa volta di un phishing diverso dai soliti in quanto non collegato a pagine clone ma bensi' ad un tentativo di far scaricare ed eseguire files dai contenuti probabilmente malware.
Edgar
Nessun commento:
Posta un commento