'Lei ha bisogno di ricevere un pacco' Un intenso ed attuale spam a base di allegati fake DHL – FED-EX e link a file zip contenente malware.(25 gennaio)

Intensa campagna di spam che ricorda per certi versi quelle recenti di mails con links a files zip contenenti malware (vedi ad esempio qui) anche se questa volta la cura posta nel tentativo di far scaricare il codice malevolo e' sicuramente piu' elevata.

Ecco un testo 'standard' di fake messaggio DHL che ci informa di un pacco che si potra' ritirare stampando e presentando apposito form all'ufficio postale.

Evidentemente si cerca di stimolare la curiosita' di chi ricevesse la mail di spam nel tentativo di fargli aprire l'allegato, che appare come

Naturalmente il link non fa altro che scaricare da sito internet uno zip 

che contiene un eseguibile malware 

Come succede quasi sempre in questi casi, l'eseguibile e' ben poco visto dai vari software antivirus in commercio (analisi di attuale zip scaricato in data odierna 25/1)

come

Tornando nel dettaglio ai contenuti mail, abbiamo differenti messaggi mail con testo dell'oggetto che varia da 

Lei ha bisogno di ricevere un pacco

DHL Italiano corriere-3xxx@dhl.it

a

E' possibile ricevere Suo pacco.

DHL Italiano dHL-italiano-8xxx@dhl.it 

Inoltre sembrano essere inviate anche mail fake Fed EX (altra nota azienda USA di spedizioni) ma rivolte ad utenza non italiana, da quanto si puo' presumere dal messaggio allegato in inglese.

con link a file zip

Approfondendo l'analisi notiamo come, sia lo spam DHL diretto ad utenti IT, che quello Fed Ex abbia molti punti in comune a livello degli allegati.

Se infatti osserviamo come si presenta l'allegato file htm aperto in browser abbiamo la sorpresa di vedere un lungo testo nel titolo della pagina web.

Ed ecco alcun sorgenti degli allegati DHL e FedEx 

Si nota un lungo testo sempre differente per ogni file e che parrebbe estratto in blocco da libri piu' o meno noti.

La ricerca Google trova infatti piena corrispondenza dei testi con i contenuti trovati in Google Books.

La spiegazione piu' probabile e' che chi vuole distribuire il malware crei dei messaggi da allegare in mail inserendovi parte di testo ricavato in maniera random da libri e questo per rendere sempre diversi (in parte) i contenuti e sfuggire ad eventuale black-listing.

In conclusione uno spam abbastanza pericoloso per diversi motivi tra cui i contenuti curati sia della mail che degli allegati (testo random presente) ed anche il basso riconoscimento AV dei codici malevoli present nello zip linkato.

Edgar