AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE a volte anche poco riconosciuti dai software AV.
Bell'esempio di spam ingannevole attraverso questa attuale mail
relativa a recenti fatti di cronaca con testo ed allegato che tentano di indurre a cliccare sul file mascherato da immagine jpg.L'archivio zip contiene un file con nome, fake estensione jpg e lunga serie di caratteri underscore che, se la finestra del programma e' dimensionata in maniera ridotta,
nascondono la reale natura di eseguibile exe del file.Questa invece la finestra del programma con evidenziato l'intero nome del file
Una analisi del file attraverso virus total mostra la natura malevola del file e come successo altre volte qualche differenza tra risposta AV se si analizza il file 'zippato'
od il file estratto
Per quanto si riferisce all'hosting dello zip linkato in mail si tratta di sito compromesso con whois spagnolo
mentre analizzando il file eseguibile
si nota come lo stesso si connetta in rete una volta in 'run' per scaricare un altro codice malevolo 
comunque ben rilevato
ed ancora da sito compromesso con whois spagnolo
Interessante anche una analisi degli headers in mail che individuano un unico IP italiano appartenente a Fastweb come probabile source dl messaggio.
Edgar
Nessun commento:
Posta un commento