Una successiva mail a quella analizzata ieri parrebbe confermare le analogie con quelle ricevute ad inizio luglio relative a phishing con malware e che portavano riferimenti a 'Monte BIZ'
L'attuale mail vede infatti l'indicazione 'Monte Biz' nell'oggetto e propone un link al medesimo file .zip visto ieri. (su differente sito compromesso)
Gli headers in mail denotano comunque una probabile origine comune delle mails ricevute ieri e oggi.
Ecco l'odierno header
e quello della mail di ieri
Un confronto tra i due files (quello ricevuto ieri e l'odierno) con identico nome, vede anche lo stesso hash
denotando che si tratta appunto del medesimo malware camuffato da file PDF con doppia estensione.
Il sito compromesso che ospita detto file e' cambiato e il link in mail punta ora sito con whois USA.
Un discorso a parte merita il sito USA utilizzato adesso per hostare il file zip contenente il malware.
Esaminando infatti la sua struttura possiamo trovare questo folder
che a sua volta ospita un ulteriore subfolder con
Si tratta di un file (data non recente) simile nel nome a quelli visti attualmente ed in passato (doppia estensione ed 'underscore')
e che parrebbe confermare come il sito USA sia utilizzato quale host di contenuti pericolosi sempre orientati allo spam malware attraverso mails ingannevoli.
Edgar
L'attuale mail vede infatti l'indicazione 'Monte Biz' nell'oggetto e propone un link al medesimo file .zip visto ieri. (su differente sito compromesso)
Gli headers in mail denotano comunque una probabile origine comune delle mails ricevute ieri e oggi.
Ecco l'odierno header
e quello della mail di ieri
Un confronto tra i due files (quello ricevuto ieri e l'odierno) con identico nome, vede anche lo stesso hash
denotando che si tratta appunto del medesimo malware camuffato da file PDF con doppia estensione.
Il sito compromesso che ospita detto file e' cambiato e il link in mail punta ora sito con whois USA.
Un discorso a parte merita il sito USA utilizzato adesso per hostare il file zip contenente il malware.
Esaminando infatti la sua struttura possiamo trovare questo folder
che a sua volta ospita un ulteriore subfolder con
Si tratta di un file (data non recente) simile nel nome a quelli visti attualmente ed in passato (doppia estensione ed 'underscore')
e che parrebbe confermare come il sito USA sia utilizzato quale host di contenuti pericolosi sempre orientati allo spam malware attraverso mails ingannevoli.
Edgar
Nessun commento:
Posta un commento