Si tratta in genere di mails che tramite links od allegati tentano di sottrarre le credenziali relative a servizi offerti da PosteIT e la cui pericolosita' e' quella tipica di una azione di phishing (furto di credenziali di accesso).
Diversa e' invece la mail che 'circola' in rete ormai da parecchi giorni e che e' catalogabile come spam malware.
Attraverso un messaggio che informa di un telegramma urgente in attesa di essere letto (vedi screenshot tratto da ricerca Google Images)
viene linkato un eseguibile dal nome TELEGRAMMA_394884958.exe
Vediamo qualche dettaglio sul file malevolo:
Questa l'icona proposta scaricando il file eseguibile
e che ricorda quella usata in files Adobe
Una ricerca in rete permette di evidenziare come il file eseguibile sia distribuito in rete gia' da fine Marzo
Naturalmente i links piu' datati non sono piu' attivi mentre il piu' recente distribuiva il fake file telegramma ancora nella serata di ieri 4 aprile (ora thai).
Insieme all'uso di diversi links per il file TELEGRAMMA_394884958.exe possiamo notare come anche l'MD5 del file sia sempre diverso da cui si conferma un continuo 'aggiornamento' dei codici malevoli allo scopo di evitare riconoscimento da parte dei softwares AV.
Ecco alcuni report VT relativi a precedenti 'versioni' del malware
e
mentre un report VT attuale mostra come non siano poi moltissimi i software Av che rilevano adesso il file come malware (codici malevoli sempre diversi)
con
Analizzando i report VT si puo' anche rilevare come il nome del file risulti differente rispetto a TELEGRAMMA_394884958.exe, segno anche questa volta di un file eseguibile probabilmente usato pure in altri contesti e quindi ridenominato e linkato per un uso con la fake mail PosteIT.
Anche le info estraibili dal file in questione mostrano attualmente
con nome differente rispetto a quello linkato dalle mails attuali di spam.
Da notare che, almeno nei casi esaminati, il file malevolo appare sempre hostato su servizio di Amazon cloud, dominio che troviamo coinvolto gia' altre volte in distribuzione di codici di phishing o malware.
Edgar
Nessun commento:
Posta un commento