Da notare un riferimento anche a 'Monte Biz' che e' quasi sempre presente in questo genere di messaggi.
Il contenuto e' il consueto link a file compresso in formato ZIP hostato su sito compromesso, e che vede la presenza di eseguibile mascherato da lunga sequenza di caratteri 'underscore'
Come gia' detto piu' volte la presenza di caratteri 'underscore' nel nome del file tende a nascondere la parte del nome del file relativa alla estensione .EXE come si nota bene in questo screenshot:
Anche questa volta il riconoscimento dei contenuti malware e', al momento, quasi nullo, e questo proprio a causa dei continui 'aggiornamenti' del codice malware attraverso l'invio di sempre nuove mails di SPAM.
con
Una sommaria analisi ANUBIS mostra che l'eseguibile una volta in run parrebbe attivare un traffico
con un indirizzo IP relativo server Pakistano
Come curiosita' segnalo che lo stesso IP e' inoltre presente in un report online e relativo a SPAM con contenuti molto simili a quelli odierni tranne che per i testi in lingua inglese:
Dal testo dell'oggetto delle mails inviate tramite l'IP pakistano risulta evidente che si tratta di messaggi con probabili analogie con i casi odierni. (mail dai testi che tentano in qualche modo di incuriosire chi ricevesse il messaggio cercando di invogliarlo a seguire il link a file malware).
Considerato che noto sui logs del blog un grande accesso ai post relativi a questo genere di SPAM malware, informo che come sempre, nei casi esaminati attualmente, la semplice lettura della mail ricevuta non comporta nessun problema di sicurezza, ma solo scaricando lo zip e lanciandone il contenuto eseguibile verrebbe eseguito il malware.
Edgar
Nessun commento:
Posta un commento