venerdì 14 settembre 2012

Ritorna ancora una volta lo spam pericoloso con link a malware (14 settembre)


Nuovamente ricevute ed anche presenti come segnalazione in in rete, diverse mails che portano il 'solito' link a file zip contenente malware.
Si tratta sempre della ormai molto nota e datata azione di spam pericoloso,presente da moltissimo tempo in rete, e ben documentata (vedi ad esempio questo post ed i molti precedenti)

Considerato che il testo e' in lingua italiana ed che, al momento dell'invio mails, il link nel messaggio mail punta a contenuto malevolo praticamente sconosciuto ai piu' noti softwares antivirus, l'azione di diffusione del malware potrebbe comunque avere una certa efficacia.

Questi alcuni dei brevi testi rilevati sui messaggi

------------------------------------------------
oggetto mail : Risposta alla tua domanda #xxxxxx

Dear customer, 

Secondo la vostra richiesta vi invieremo una fattura
http://ftp.xxxxxxx/profilo/Profilo.zip?xxxxxxxxxxxxxx
---------------------------------------------

oppure

----------------------------------------------
oggetto mail : Fatture #xxxxxxxxx

Dear client, 

La risposta alla tua domanda riguardo al profilo sul nostro sito 2012/09/10.
Eseguito.
Le statistiche possono essere scaricati
http://xxxxxxxxxxxxx.pl/dettagli/Dettagli.zip?xxxxxxxxxxxxxxx
----------------------------------------------

ed ancora

-----------------------------------------------
oggetto mail : Nuovi dettagli per il pagamento # xxxxxxxxxx

Dear client, La risposta alla youWe attirare la vostra attenzione sul fatto che si dispone di fatture non pagate. Deve essere pagato prima della fine della settimana.

 Ulteriori informazioni sono disponibili al seguente indirizzo: http://ftp.xxxxxxx.com/dettagli/Dettagli.zip?xxxxxxxxxxxxxx

 ____________ 
Best regards, 
-----------------------------------------------

In tutti i casi abbiamo un link a file in formato compresso, ospitato su sito compromesso.
Il nome del file linkato e' in lingua italiana (Dettagli.zip - Profilo.zip)  ed e' collegato a quanto si legge nel breve messaggio mail, al fine di generare curiosita' in chi ricevesse la mail e fargli downloadare ed aprire lo zip.


Il contenuto e' il 'solito' eseguibile malware con estensione exe mascherata dalla lunga sequenza di caratteri 'underscore' _____________ .


Come c'era da aspettarsi, a poche ore dalla messa online del file, una analisi Virus Total mostra un riconoscimento praticamente nullo sul file quando scompattato (eseguibile )



o quasi nullo su quello in formato compresso



Edgar

Nessun commento: