mercoledì 3 aprile 2013

'In cerca di amore!' Spam pericoloso con allegato malware per colpire utenti IT della rete (3 aprile)

Nei giorni scorsi abbiamo visto parecchio spam con link a files ZIP hostati su siti compromessi e contenenti un fake DOC o PDF, in realta' eseguibile malware.
La mail ricevuta oggi e' invece uno spam dei piu' 'classici' nella distribuzione malware.
L'oggetto mail particolare “in cerca di amore!” ed il testo in lingua italiana (non molto corretta) tentano di incuriosire chi ricevesse la mail facendogli aprire l'allegato file ZIP che contiene il file malevolo.

Ecco la mail 


dove notiamo un testo con riferimento a sito italiano di incontri online realmente esistente
Il messaggio informa anche della presenza di un allegato contenente la foto ed il video relativo alla persona “in cerca di amore!”

Questo lo zip allegato creato in data recente


il cui contenuto non e'  il tipico .exe ma, nel tentativo di ingannare chi aprisse lo ZIP, un file con estensione .SCR.
Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di virus informatici.

Una analisi VT rivela come solo da poche ore l 'eseguibile sia visto da un buon numero di software AV.
Infatti solo poche ore fa, avevamo 


con basso riconoscimento, mentre al momento di scrivere il post il numero di software che rilevano la minaccia pare essere in aumento


Attualmente il contenuto lo ZIP  allegato in mail viene visto da VT


con


Notate come in alcuni casi Virus Total generi reports con dettaglio di nomi di files diversi da quelli inviati al sito per l'analisi. In pratica inviando lo zip e possibile che lo stesso venga riconosciuto come gia' analizzato in precedenza con differente nome (esempio il file myphotos.SCR risulta essere gia' stato analizzato da VT come school.EXE).
Questo si spiega con i fatto che dal punto di vista dei contenuti si tratta sempre del medesimo file  che e' stato ridenominato da chi distribuisce il malware allo scopo di adattarne il nome nel contesto in  cui veniva distribuito.
In questo caso e' chiaro come per un allegato di mail che informa di foto sia stato usato un file  myphotos.zip contenente file ridenominato myphotos.scr.

Notate anche come i dettagli del file mostrino una descrizione alquanto fantasiosa per il file SCR (Super Mario Bros) facendo pensare anche a file fatto passare, in altri casi, come programma di gioco.


Ancora quindi uno spam pericoloso che parrebbe essere dedicato questa volta a colpire utenti IT della rete e che si aggiunge alle note mails di spam con link a contenuti malware che periodicamente vengono distribuite in rete. 

Edgar

Nessun commento: