sabato 13 agosto 2011

Conferma spam pericoloso probabilmente collegato a precedente intensa campagna di phishing 'Monte BIZ' di inizio luglio (12 agosto)

Una successiva mail a quella analizzata ieri parrebbe confermare le analogie con quelle ricevute ad inizio luglio relative a phishing con malware e che portavano riferimenti a 'Monte BIZ'
L'attuale mail vede infatti l'indicazione 'Monte Biz' nell'oggetto e propone un link al medesimo file .zip visto ieri. (su differente sito compromesso)

Gli headers in mail denotano comunque una probabile origine comune delle mails ricevute ieri e oggi.

Ecco l'odierno header
e quello della mail di ieri


Un confronto tra i due files (quello ricevuto ieri e l'odierno) con identico nome, vede anche lo stesso hash

denotando che si tratta appunto del medesimo malware camuffato da file PDF con doppia estensione.

Il sito compromesso che ospita detto file e' cambiato e il link in mail punta ora sito con whois USA.

Un discorso a parte merita il sito USA utilizzato adesso per hostare il file zip contenente il malware.

Esaminando infatti la sua struttura possiamo trovare questo folder

che a sua volta ospita un ulteriore subfolder con

Si tratta di un file (data non recente) simile nel nome a quelli visti attualmente ed in passato (doppia estensione ed 'underscore')

e che parrebbe confermare come il sito USA sia utilizzato quale host di contenuti pericolosi sempre orientati allo spam malware attraverso mails ingannevoli.

Edgar

Nessun commento: