venerdì 5 aprile 2013

Il fake telegramma di PosteIT (5 aprile)

Il phishing ai danni di PosteIT e' sicuramente uno tra i piu' diffusi casi, se non il piu' diffuso, ai danni di utenti IT della rete.
Si tratta in genere di mails che tramite links od allegati tentano di sottrarre le credenziali relative a servizi offerti da PosteIT e la cui pericolosita' e'  quella tipica di una azione di phishing (furto di credenziali di accesso).
Diversa e' invece la mail che 'circola' in rete ormai da parecchi giorni e che e' catalogabile come spam malware.
Attraverso un messaggio che informa di un telegramma urgente  in attesa di essere letto (vedi screenshot tratto da ricerca  Google Images)


viene linkato un eseguibile  dal nome TELEGRAMMA_394884958.exe

Vediamo qualche dettaglio sul file malevolo:
Questa l'icona proposta scaricando il file eseguibile


 e che ricorda quella usata in files Adobe


Una ricerca in rete permette di evidenziare come il file eseguibile sia distribuito in rete gia' da fine Marzo


Naturalmente i links piu' datati non sono piu' attivi mentre il piu' recente distribuiva il fake file telegramma ancora nella serata di ieri 4 aprile (ora thai).
Insieme all'uso di diversi links per il file TELEGRAMMA_394884958.exe possiamo notare come anche l'MD5 del file sia sempre diverso da cui si conferma un continuo 'aggiornamento' dei codici malevoli allo scopo di evitare riconoscimento da parte dei softwares AV.
Ecco alcuni report VT relativi a precedenti 'versioni' del malware


e


mentre un report VT attuale mostra come non siano poi moltissimi i software Av che rilevano adesso il file come malware (codici malevoli sempre diversi)


con


Analizzando i report VT  si puo' anche rilevare come il nome del file risulti differente rispetto a TELEGRAMMA_394884958.exe, segno anche questa volta di un file eseguibile probabilmente usato pure  in altri contesti e quindi ridenominato e linkato per un uso con la fake mail PosteIT.
Anche le info estraibili dal file in questione mostrano attualmente


con nome differente rispetto a quello linkato dalle mails attuali di spam.

Da notare che, almeno nei casi esaminati, il file malevolo appare sempre hostato su servizio di Amazon cloud, dominio che troviamo coinvolto gia' altre volte in distribuzione di codici di phishing o malware.

Edgar

Nessun commento: