mercoledì 16 luglio 2014

Ritornano le mails con allegato file malware (16 luglio)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.

Questa una delle mail ricevute 


che attraverso un testo che informa dell'allegata foto, tenta di far cliccare ed eseguire in realta' un file malware.

Ecco gli headers presenti in mail


Per quanto si riferisce all'allegato si tratta di un file zip che contiene il 'solito' eseguibile .scr (vedi post precedenti)


e che ad una analisi VT vede un veramente basso riconoscimento, al momento della ricezione della mail


Passata qualche ora abbiamo un maggiore riconoscimento malware, come si vede da questa ulteriore analisi VT


Da notare come la mail presenti vari indirizzi di mailbox tutti comunque IT a cui e' stato inviato il fake file foto.


Quasi si trattasse di una azione coordinata, dopo qualche ora sono state ricevute diverse mails, questa volta in lingua inglese, che a grandi linee, ricalcano la mail descritta in precedenza.
Qui vediamo alcuni layout


dove invece che la fake foto viene indicato un allegato relativo a pagamento o acquisto ma anche nel testo un riferimento al nostro passaporto, tutti argomenti volti a farci cliccare sull'eseguibile malware allegato.

Le analogie con lo spam IT sono diverse come ad esempio l'uso di files .scr 


ed anche l'invio multiplo a diversi utenti internet anche se questa volta non solo IT.
Da notare poi come in queste ultime mail siano stati inseriti ben due allegati, uno informato zip e uno in formato rar quasi a cautelarsi che chi riceve il messaggio abbia comunque una alternativa per visionare il file allegato.
In queste recenti mails una analisi VT mostra un quasi nullo riconoscimento malware


ed anche


mentre una analisi md5 mostra che i files sono gli stessi nelle due mails analizzate pur presentando differente nome dell'allegato


Gli headers di questo secondo gruppo di mails vedono IP


e


In definitiva un intenso spam che nella semplicita' dei messaggi mail potrebbe comunque essere abbastanza  'efficace' visto anche il quasi nullo riconoscimento da parte degli AV nelle prime ore di invio delle mails.

 Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)