mercoledì 1 febbraio 2012

Continua lo spam pericoloso attraverso messaggi email in italiano e link a malware. (1 febbraio)

Non si ferma la distribuzione di spam costituito da mails in italiano che, anche se con un testo abbastanza confuso, tentano di far cliccare sul link a file .zip a sua volta contenente un fake pdf.

Anche se si tratta di messaggi poco credibili, chi riceve la mail potrebbe, solo per curiosita', estrarre l'eseguibile e mandarlo in run per di piu' confidando magari nella presenza dell'antivirus installato sul PC.
Il problema e' che, se riteniamo attendibile l'attuale analisi Virus Total, ben pochi dei softwares Av in commercio, parrebbero, al momento, riconoscere il malware.

Ecco alcuni dettagli:

Questa la mail

che propone un link personalizzato con il nome del ricevente del messaggio ed inoltre che sfrutta un file .zip ospitato in folder dal nome ingannevole ( folder legato all'argomento trattato nel messaggio (in questo caso statistica))

Una analisi dell'header mostra ip di hoster francese spesso coinvolto in spam anche di phishing

Il file linkato in mail e' il solito .zip contente un file con doppia estensione mascherata attraverso una lunga sequenza di caratteri underscore (se la finestra del programma non e' ampiamente dimensionata, viene mostrata praticamente solo la fake estensione pdf).

Da notare come la data del file e' attuale, a riprova che probabilmente si sta utilizzando una versione 'aggiornata' del malware, proprio allo scopo di evitare il riconoscimento da parte dei softwares AV.

A conferma abbiamo infatti un basso riconoscimento

cosa che potrebbe aumentare la diffusione del malware.

Il sito compromesso che ospita il folder creato per l'hosting del file zip, e' su dominio IT con whois

Una breve ricerca in rete mostra alcuni altri messaggi simili a quello ricevuto ma con diverso link per il file zip.
Si tratta anche in questo caso di links a file zip ospitato su sito IT ma, al momento, non sembra possibile il download del file.

Edgar

Nessun commento: