Skrill “.......e' un e-commerce globale che permette di effettuare pagamenti tramite Internet.... (fonte Wikipedia)”
Questa la homepage in lingua italiana del legittimo sito Skrill
Questa invece la mail ricevuta
che presenta alcuni particolari interessanti.
Come si nota c'e' un problema sulla visualizzazione del messaggio costituito da unica immagine .bmp che pero' non viene caricata.
Analizzando il source mail si rileva comunque il link a detta immagine
hostata su sito
e quindi la mail, se non ci fossero errori nel suo codice source, come invece paiono esserci, dovrebbe apparire nelle intenzioni dei phishers, con questo layout
mentre di solito in casi di phishing e' raro che ci sia un solo IP di riferimento e di provenienza italiana per phishing rivolto ad utenti IT della rete.
Usando il link presente (o meglio l'immagine cliccabile come era nelle intenzioni dei phisher) abbiamo il download di questo file zip
hostato su sito compromesso, con IP brasiliano
Il file zip contiene un eseguibile sotto forma di file con doppia estensione .rtf.scr
Una analisi Virus Total mostrava, al momento dell'analisi della mail, che non erano gia' stati analizzati altri files uguali o simili a quello zip scaricato ( quindi file molto recente ) e che comunque, nonostante il file attuale, il riconoscimento e' molto alto con quasi tutti i principali softwares AV che rilevano al minaccia
La mail ricevuta rimane comunque abbastanza particolare proprio per la scelta dei phisher di utilizzare un riferimento a Skrill, azienda che non ricordo di avere mai osservato in precedenti analisi malware, e anche per l'uso di un layout del messaggio, molto simile ad uno dei tanti casi di phishing che vediamo ogni giorno in rete, pur trattandosi di una 'distribuzione' malware.
Edgar
Nessun commento:
Posta un commento