Sempre piu' attivo in rete lo spam malware attraverso mails con links a files .zip e contenenti gli ormai ben noti eseguibili costituiti da nome di file con falsa estensione doc o pdf , una lunga sequenza di caratteri '_' (underscore) e la reale estensione exe.
Questa l'attuale mail, che fa pensare ad una nuova 'ondata' di messaggi di posta elettronica con link a sito compromesso con incluso file malware.
Si tratta ancora una volta di mails specificatamente create per una utenza IT con, come novita', maggior cura posta nel messaggio proposto e presenza di link ed indirizzo mail riferibili ad azienda IT del settore articoli da regalo..Mentre nei precedenti casi, molti dei quali con ricorrente riferimento a 'Monte BIZ', avevamo messaggi limitati a qualche riga di testo, ad es.:
==============================================================
Buongiorno,
Si prega di pagare questo conto fino alla fine del mese.
http://sito_compromesso/conto/Conto.zip?qIqreSWdkdkwwKH
==============================================================
ma anche
==============================================================
Gentile utente, Monte Biz
Si prega di pagare questo conto fino alla fine del mese.
http://sito_compromesso/pagamento/Dettagli.zip
==============================================================
adesso troviamo un messaggio molto piu' lungo e dettagliato, che illustra anche i contenuti dello zip linkato.
==============================================================
Gentile utente,
Grazie per l'inserimento di un ordine con noi!
Desideriamo informarLa che abbiamo ricevuto il vostro ordine e verra elaborato molto presto. Il vostro numero d'ordine e 394730-123522 e si dovrebbe essere consegnato entro 2-5 giorni lavorativi. Si prega di notare che nella maggior parte dei casi, la consegna e piu veloce indicato come vogliamo farvi iniziare a godere l'acquisto il piu presto possibile. Nel frattempo, si puo accedere al sito e verificare lo stato dell'ordine in qualsiasi momento tramite la pagina 'Il mio Account'.
Se avete domande sul tuo ordine, non esitate a contattarci via email a support@omesso.com Non appena ordine e stato spedito, il nostro esecutivo Servizio Clienti monitorare i progressi e tenervi aggiornati in ogni momento.
Richiedi il tuo premio speciale.
Ancora una volta, vorremmo ringraziarvi per il vostro acquisto e speriamo di rivedervi presto.
Fare clic sul seguente link per il pagamento e le informazioni di consegna
http://aic.omesso.net/hardware/Forma.zip?48793673273943
Altri tempi, altri costumi.
Responsabile Servizio Clienti
omesso.it
==============================================================
Anche se in un italiano non troppo corretto, il testo mostra parecchi contenuti creati allo scopo di incuriosire chi ricevesse la mail ed invogliarlo ad aprire il file scaricato .
Frasi come '…..... Grazie per l'inserimento di un ordine con noi! …....' oppure '…......Richiedi il tuo premio speciale..........' ed anche '….........Fare clic sul seguente link per il pagamento e le informazioni di consegna ….......' sono evidentemente tutte mirate ad incuriosire chi riceve la mail ed a fargli downloadare ed aprire lo zip cliccando sul fake file doc, che una volta in esecuzione tentera' di compromettere il PC.
Molto interessante anche la presenza nel testo di indirizzo mail con dominio realmente esistente cosi' come di un riferimento testuale ad azienda IT del settore vendita oggetti da regalo.
Ecco la reale homepage dell'azienda citata in mail:
Proporre un indirizzo mail con dominio di azienda (sito in italiano e whois IT)
che effettua vendita di articoli da regalo ecc... , potrebbe creare in chi riceve la mail, una ulteriore convinzione che si tratti di legittimo messaggio e non di fake comunicazione.Lo stesso nome di azienda viene richiamato anche nei saluti finali presenti in mail (vedi screenshot).
Per quanto si riferisce ai contenuti malware sono hostati su sito compromesso con whois:
Ecco un dettaglio del file scaricato e relativo contenuto (solito nome lungo con caratteri underscore)Una analisi Virus Total, come gia' detto altre volte, vede ben pochi softwares AV riconoscere al momento, il file pericoloso, sempre ricordando tutti i limiti di una scansione on-line on-demand quale quella di VT.Come c'era da aspettarsi nelle prime ore di diffusione del malware,
sono ben pochi i softwares che lo riconoscono, cosa che dovrebbe migliorare con il passare delle ore.
Questa una ulteriore parziale analisi dei contenuti.
e
Vedremo, nel corso della giornata se ci saranno altre segnalazioni in rete al riguardo di questo nuovo spam dai contenuti malware, anche rilevando probabilmente un piu' alto numero di accessi al blog da parte di lettori che cercheranno INFO al riguardo.Ricordo infatti che ormai da qualche tempo, alla diffusione del malware, e' sempre corrisposto un picco negli accessi al blog come vediamo in questo grafico relativo allo scorso mese di marzo:
Edgar
Nessun commento:
Posta un commento