giovedì 29 marzo 2012

'Si prega di pagare questo conto fino alla fine del mese'. Ancora spam con allegato zip malware (29 marzo)

Ormai uno degli indici che preannuncia una nuova 'campagna di spam', con con allegato malware incluso in file zip e testo in lingua italiana, e' la tendenza in aumento del numero degli accessi al blog.

Ecco l'attuale grafico del mese di Marzo

dove ai picchi di accessi al blog corrisponde il picco di invio di spam pericoloso costituito dal consueto allegato .zip con contenuto di fake doc, pdf … e la lunga serie di caratteri underscore nel nome per mascherare la doppia estensione (doc + exe)

Anche un report sulle keywords usate recentemente in ricerca e che linkano questo blog, identifica la nota stringa 'Monte Biz' ai primi posti.

Derivata forse da un iniziale testo di mail di phishing ai danni di banca IT la stringa "Monte Biz" e' diventata la firma che contraddistingue parte di questo spam malware.

Vediamo alcuni dettagli aggiornati ad oggi.

Il testo delle mails si presenta come

==============================================================

Buongiorno,

Si prega di pagare questo conto fino alla fine del mese.

http://sito_compromesso/conto/Conto.zip?qIqreSWdkdkwwKH

==============================================================

ma anche come gia' indicato, con al presenza di 'Monte Biz' nel testo del messaggio.

Chiaramente non esiste nessun legame con azioni di spam ai danni di banca IT in quanto non viene riprodotto nessun layout che simuli pagine di banca IT o vengano presentati loghi in mail riconducibili a banche IT.

==============================================================

Gentile utente, Monte Biz

Si prega di pagare questo conto fino alla fine del mese.

http://sito_compromesso/pagamento/Dettagli.zip

==============================================================

In entrambi i casi si nota testo in un italiano non molto corretto ed allegato zip.
Anche nello spam attualmente attivo, come nei precedenti il file zip, contiene il consueto file mascherato da doppia estensione

e presenta date attuali per entrambi i files anche se il fake PDF parrebbe essere il piu' 'aggiornato'

Ecco infatti il fake doc (27/3)

ed il fake pdf a confronto (28/3)

Al solito una analisi VT mostra un riconoscimento abbastanza basso, specialmente nelle prime ore della diffusione del malware,

mentre con il passare del tempo il riconoscimento aumenta,

con al momento della analisi questo report

anche se c'e' da considerare che nel giro di qualche giorno ( di solito una settimana) potrebbe esserci una nuova 'campagna' di spam con nuovi contenuti malware.(e quindi nuovamente bassi riconoscimenti iniziali)

Come sempre vale la regola di non scaricare allegati o seguire links presenti su mail dai mittenti e dai contenuti dubbi .
Per di piu' si tratta di messaggi facilmente identificabili sia dal layout, dal ricorrente testo 'Monte Biz' presente e pure dal sempre presente allegato .zip dai nomi noti (fattura, conto, dettagli, ecc....).

Basarsi solo sul fatto che abbiamo attivo sul PC un antivirus non e' invece indice di completa sicurezza in quanto, come abbiamo visto, alcuni anche tra noti software Av potrebbero, specialmente nelle prime ore di diffusione dello spam non rilevare i contenuti malware dei files allegati in mail.

Edgar

Nessun commento: