martedì 25 settembre 2012

Ancora SPAM pericoloso ai danni di utenti IT della rete, attraverso links ad exploits supportati da 'fake' ed ingannevole messaggio mail. (25 settembre)


Come gia'  evidenziato sul portale ENI


dove si legge

Attenzione alle e-mail fasulle
In queste settimane sono in circolazione e-mail con indirizzo di provenienza info@xxx.it con presenza nel testo del nome eni.
Il testo fa riferimento all’avvenuta abilitazione al Portale eni  ed invita a variare le credenziali di accesso cliccando su un link.
Questa operazione NON deve essere effettuata, in quanto sono e-mail fasulle da cancellare immediatamente!
Non sono state inviate o autorizzate da eni.

appare in corso una 'campagna' di spam pericoloso con messaggi mail che presentano un link a redirect che a sua volta punta a codice php e links ad  exploits.
Contrariamente ai consueti casi di phishing dove lo scopo della mail e' linkare a pagine o siti clone di note banche od aziende allo scopo, di solito, di acquisire credenziali di accesso a conti bancari online o carta di credito, qui vediamo un uso di mail di phishing rivolta a linkare direttamente codice malevolo (exploits).


Ecco alcuni dettagli:

Appare in data odierna sul 'DB segnalazioni' di Anti Phishing Italia questa segnalazione relativa a mail che si propone come essere  inviata dal 'Team Portale Web' ENI.
Il testo ricalca quello gia' visto in passato e informa della conferma  dell'avvenuta registrazione al Portale Web ENI come da 'richiesta' di chi riceve la mail.


Le confermiamo l'avvenuta registrazione al Portale Eni per i servizi gas e elettricita', con la mail http://gelifowo.xxxxx.com/  da Lei richiesta 
Potra accedere all'area riservata all'indirizzo http://gelifowo.xxxxx.com/  digitando la userid e password di seguito 
riportate: 
UserID: …...........@gmail.com 
Password: …........... 
Le consigliamo di cambiare la password assegnataLe dopo il primo accesso, utilizzando la funzione di modifica dati personali disponibile nell'area riservata. 
Nell'Area Contattaci e disponibile il form per comunicare con noi. 
Questo messaggio e spedito in modalita automatica. 
Le chiediamo di non rispondere a questo indirizzo e mail. 
Cordiali saluti. 
Team Portale Web

Chiaramente si tratta di un  messaggio fasullo che tenta di incuriosire chi lo ricevesse  convincendolo a seguire  il link proposto.

Il link mostra molte analogie con i redirects presenti nei messaggi di spam analizzati la scorsa settimana (es.stesso nome di file fake PDF) con la differenza che mentre le precedenti mail erano scritte in un italiano abbastanza approssimativo e con testo messaggio breve (ed a volte quasi incomprensibile), nel caso attuale il testo appare molto piu' curato, ingannevole e simile alle tipiche mails di phishing.

La riprova che si tratta di testo 'ingannevole' la osserviamo in un link trovato in rete e relativo a risposte ad un quesito posto ad associazione di consumatori italiani  da parte di chi, probabilmente,  ha ricevuto la mails  (notate l'analogia del testo con la mail riportata da Anti Phishing Italia:

…........................... aprendo la mia posta mi sono ritrovato questo messaggio: "Gentile cliente, Le confermiamo l'avvenuta registrazione al Portale Eni per i servizi gas e elettricita'..."
Per quanto mi risulta non ho mai operato alcuna richiesta con l'Eni, per cui questa email mi e' completamente nuova. A scanso di equivoci non ho contattato alcun indirizzo ivi segnalato. Come devo comportarmi? Grazie per l'eventuale risposta. Cordiali saluti,........................ 

Il consiglio ricevuto e' :

…..... si faccia valere con una lettera raccomandata A/R di diffida dal procedere ad alcuna attivazione...............................:

E' probabile che si tratti sempre del medesimo messaggio evidenziato ad inizio post e che abbia tratto in inganno al punto di far pensare che si tratti di un 'reale' e non 'fake' messaggio da parte di ENI. (e quindi la conseguente risposta con suggerimento di invio raccomandata AR)

Da notare comunque come, in maniera corretta in questi casi di messaggi di dubbia provenienza, chi ha ricevuto la mail, giudicandola 'sospetta' non abbia seguito i links presenti ed evitato eventuali problemi malware.

In ogni caso il link presente se cliccato punta tramite redirect ai consueti codici exploits gia' visti in passato 


tra cui il fake PDF


ed anche


Una analisi VT del PDF mostra un quasi nullo rilevamento.


con


E' quindi evidente che si tratta di mail con link che se cliccati, ed in presenza di vulnerabilta' sul PC di chi riceve il fake messaggio, potrebbero portare all'esecuzione automatica di contenuti malevoli con ovvie conseguenze.
In conclusione c'e' anche da considerare la natura ingannevole del messaggio mail scritto in buon italiano senza dimenticare l'attuale molto basso riconoscimento AV dei codici pericolosi linkati.

Edgar

Nessun commento: