Si tratta di un intenso invio di mails dal testo costruito ad arte e dai loghi tratti da siti legittimi solo allo scopo di ingannare chi ricevesse i messaggi e fargli scaricare e aprire sul pc dei files eseguibili pericolosi.
A riprova di questo ecco una mail altamente ingannevole ricevuta questa mattina (ora thai) che utilizza un riferimento a falsa notizia di stampa con mittente
e logo in mail relativo a diffuso quotidiano italiano:
A riprova di questo ecco una mail altamente ingannevole ricevuta questa mattina (ora thai) che utilizza un riferimento a falsa notizia di stampa con mittente
e logo in mail relativo a diffuso quotidiano italiano:
L'oggetto mail,con testo italiano con qualche errore, si riferisce a notizia fake che coinvolge una attrice e showgirl venezuelana nota in Italia (vedi Wikipedia)
Naturalmente il link in mail punta in realta' a file eseguibile .com e la cui analisi rivela qualche sorpresa.
L'eseguibile infatti e' hostato sul medesimo servizio di hosting Amazon Cloud visto ieri per il fake telegramma PosteIt (vedi precedente post) ma, cosa ancora piu' rilevante, il file analizzato da VT presenta identico nome di quello visto ieri 'Vario mio' ed identica dimensione tanto da far pensare che si tratti di un file malevolo molto simile se non uguale per contenuti, al precedente.
Ecco internamente al file le stringhe di testo che sono simili a quelle trovate nel fake file del telegramma PosteIT
Si tratterebbe cioe' della stessa distribuzione malware che esaurito lo stratagemma del fake telegramma PosteIT passa ora a nuovo 'argomento' in grado di incuriosire chi ricevesse la mail per fargli scaricare l'eseguibile denominato carolina_marconi_viene_trovato_morto.com ed aprirlo con tutte del conseguenze de caso.
Vediamo qualche dettaglio:
Questa la mail
dove notiamo sia il logo di Repubblica sotto forma di immagine tratta dal legittimo sito che il fake link che punta in realta' all'eseguibile malware.
Ecco il source mail che conferma quanto sopra
mentre l'header mail presenta questa probabile origine dello spam pericoloso.
Cliccando sul link in mail abbiamo il download di file eseguibile
Una analisi VT vede, come c'era da aspettarsi, un basso riconoscimento
con
e se confrontiamo con il fake eseguibile del telegramma posteIT visto ieri
troviamo molte analogie sia come nome del file visto da VT che come contenuti malware
Inoltre in entrambi i casi (fake telegramma e fake news) abbiamo, tra l'altro, medesimo hosting su servizio di Amazon cloud.
E' quindi molto probabile che si tratti di una azione di diffusione malware che continua la precedente e ora sfrutta differente argomento sempre altamente ingannevole se non addirittura ancora piu' pericoloso vista la novita' di associare la mail anche a noto e diffuso quotidiano italiano.
Infatti, come ben sappiamo da quanto succede nel phishing, proporre contenuti che si basano su loghi e riferimenti a reali aziende rende credibile un messaggio fake e puo' facilmente portare, chi ricevesse la mail, a considerarla legittima e dai contenuti 'sicuri'.
Nota:
Vedere anche ulteriore aggiornamento con nome di Francesco Totti per il file malware.
Infatti, come ben sappiamo da quanto succede nel phishing, proporre contenuti che si basano su loghi e riferimenti a reali aziende rende credibile un messaggio fake e puo' facilmente portare, chi ricevesse la mail, a considerarla legittima e dai contenuti 'sicuri'.
Nota:
Vedere anche ulteriore aggiornamento con nome di Francesco Totti per il file malware.
Edgar
Nessun commento:
Posta un commento