domenica 12 settembre 2010

Phishing CartaSi con distribuzione malware ? (12 settembre)

AVVISO ! Ricordo che anche se il link sul DB di segnalazioni A.P.Italia e' in chiaro evitate di scaricare ed eseguire il file proposto in quanto si tratta di probabile trojan, tra l'altro anche poco riconosciuto dai softwares AV.

Una segnalazione apparsa oggi sul DB di Antiphishing Italia risulta alquanto particolare.
Anche se a prima vista la segnalazione n.4000 del 2010/09/12 sembra una delle 'solite' CartaSi' catalogate come phishing sembrerebbe essere piu' che una mail di phishing, una mail che distribuisce eseguibile probabile malware.

Il testo della mail riporta un invito a scaricare un file eseguibile

(testo della mail come riportato su DB Antiphishing Italia)
-----------------------------------------------------------------------

Gentile cliente, Gruppo CartaSi SPA ha rinnovato il sistema antifrode, da oggi, il suo conto corrente e' sicuro e inattaccabile. Abbiamo realizato un piccolo software per proteggere il vostro computer, da pishing, pharming, e qualsiasi altro tipo di attacco. Per garantire la vostra sicurezza CartaSi vi consiglia di scaricare ed installare subito questo software.

Scarica ed instata il GuardCartaSi


---------------------------------------------------------------------------

Il link presente punta a sito IT con whois in quel di San Marino

mentre l'eseguibile proposto cliccando sul link in mail risulta essere, per i software AV che lo riconoscono (non molti per la verita') un trojan.

La cosa che comunque sembra accomunare questa segnalazione ai reali casi di phishing e' che anche in questo caso il sito compromesso IT usa Zencart come in precedenti casi di siti compromessi per ospitare phishing.

Comunque in questo caso il phishing sarebbe limitato solo alla mail ricevuta in quanto non esiste naturalmente una pagina clone ma solo un eseguibile hostato sul sito IT compromesso.

Una ulteriore analisi del malware che ne conferma, per cosi' dire, la sua autenticita' e' questo report ThreatExpert
Eseguendo il file abbiamo infatti la comparsa di questa finestra di avviso che conferma il fatto di aver installato una applicazione legata a CartaSi

con la creazione di un nuovo processo sul PC colpito rilevato, sempre da ThreatExpert come

Edgar

Nessun commento: