venerdì 12 agosto 2011

Spam pericoloso che ricalca l'intensa campagna di phishing 'Monte BIZ' di inizio luglio (12 agosto)

Vedere gli aggiornamenti al 21 febbraio 2012 su questo post e su questo
-----------------------------------------------
Ad inizio Luglio era stata segnalata, anche su questo blog, una intensa campagna di spam con mails di phishing che sfruttavano riferimenti a banca Monte Parma e specificatamente alla denominazione del servizio pubblicizzato come 'Monte BIZ'

Molte delle mails analizzate allora riportavano un testo abbastanza generico sia nell'oggetto che nel corpo del messaggio, dove i riferimenti a 'Monte BIZ' erano comunque poco evidenti.

Questa mattina e' invece stata ricevuta questa mail

che a fronte di un breve messaggio di testo (molto generico) presenta link a file .ZIP che contiene eseguibile malware.

Come si nota dallo screenshot il file odierno ripropone come la volta scorsa, una doppia estensione con la seconda parte del nome del file (dopo la prima estensione), che presenta di nuovo una lunga serie di caratteri 'underscore' per mascherare meglio la seconda estensione .EXE del file eseguibile.

Rispetto ai precedenti casi NON abbiamo pero' la stessa cura nel creare il nome del file in quanto mentre la volta scorsa venivano utilizzati anche degli spazi per nascondere il .EXE


con questi risultati

questa volta compaiono solo caratteri di 'underscore' che comunque vediamo presenti nella visualizzazione del nome del file, ed anche usando finestre a video di dimensioni ridotte.

Questo fatto dovrebbe maggiormente mettere sull'avviso chi aprisse il file ZIP rivelando un nome 'anomalo' di file.

Il file .ZIP e' ospitato su sito spagnolo in fase di sviluppo

Una analisi VT mostra un riconoscimento di circa il 50%

con qualche noto software AV che comunque non parrebbe rilevare la minaccia, sempre con tutti i limiti di una analisi AV on line on demand quale quella di VT.

Edgar

Nessun commento: