mercoledì 27 marzo 2013

“Informazioni richieste”. Continua sempre molto attivo lo SPAM con link a malware ai danni di utenti IT della rete (27 marzo)

E di poco fa l'arrivo dell'ennesima mail di SPAM con i 'soliti' contenuti e link a malware:


Da notare un riferimento anche a 'Monte Biz' che e' quasi sempre presente in questo genere di messaggi.
Il contenuto e' il consueto link a file compresso in formato ZIP hostato su sito compromesso, e che vede la presenza di eseguibile mascherato da lunga sequenza di caratteri 'underscore'



Come gia' detto piu' volte la presenza di caratteri  'underscore' nel nome del file tende a nascondere la parte del nome del file relativa alla estensione .EXE come si nota bene in questo screenshot:


Anche questa volta il riconoscimento dei contenuti malware e', al momento, quasi nullo, e questo proprio a causa dei continui 'aggiornamenti' del codice malware attraverso l'invio di sempre nuove mails di SPAM.


con


Una sommaria analisi ANUBIS mostra che l'eseguibile una volta in run parrebbe attivare un traffico


 con un  indirizzo IP relativo  server Pakistano


Come curiosita' segnalo che lo stesso IP e' inoltre presente in un report online e relativo a SPAM con contenuti molto simili a quelli odierni tranne che per i testi in lingua inglese: 


Dal testo dell'oggetto delle mails inviate tramite l'IP pakistano  risulta evidente che si tratta di  messaggi con probabili analogie con i casi odierni. (mail dai testi che tentano in qualche modo di incuriosire chi ricevesse il messaggio cercando di invogliarlo a  seguire il link a file malware).

Considerato che noto sui logs del blog un grande accesso ai post relativi a questo genere di SPAM malware, informo che  come sempre, nei casi esaminati attualmente, la semplice lettura della mail ricevuta non comporta nessun problema di sicurezza, ma solo scaricando lo zip e lanciandone il contenuto eseguibile verrebbe eseguito il malware.

Edgar

Nessun commento: