lunedì 9 aprile 2012

“Si prega di notare che hai una fattura non pagata.”Nuovamente spam con link a fake PDF (9 aprile)

Nuovamente attivo lo spam di messaggi email in lingua italiana costituiti da un breve testo e link a sito compromesso ospitante file .ZIP. contenente eseguibile malware.


Ecco come si presenta il testo in mail :

=========================================================

Fattura 1769095536982347.
Date: Mon, 09 Apr 2012 12:33:12 +0530

Ciao,

Si prega di notare che hai una fattura non pagata.
http://xyz.com/clienti/Info082349547867.zip?ID=box.tin.yyyyyyyy@xxxxxxx

=========================================================

Quanto incluso nello ZIP ricalca i 'soliti' contenuti visti in grande numero sino ad oggi e che sono costituiti da nome di file con una lunga serie di caratteri 'underscore' allo scopo di mascherare la reale estensione .exe

Una analisi VT

vede il codice pericoloso riconosciuto da

ed, in particolare, alcuni noti programmi antivirus non rilevano, al momento della scansione VT, il codice malware.

Questo un whois del sito turco sviluppato in Wordpress che ospita il file:

Tutto fa pensare che si tratti, anche questa volta, della ricorrente distribuzione di spam a cui siamo abituati ormai da mesi e che ad intervalli piu' o meno regolari, di una settimana, si ripresenta in rete.

Si tratta di mails con caratteristiche sempre simili tra cui:

1) corto testo in italiano a volte anche poco corretto e che riporta dettagli su fatture non pagate, ordini da confermare, pagamenti non avvenuti.... ecc..... sempre allo scopo di incuriosire chi ricevesse la mail

2) Link che punta a sito compromesso contenente file .ZIP

3) file .ZIP che a sua volta contiene falsi doc, pdf ecc...tutti con doppia estensione nel nome ed in particolare con quella .exe mascherata attraverso l'uso di lunga sequenza di caratteri 'underscore'

Come sempre basta evitare di aprire il file zip o comunque non eseguirne il contenuto per evitare di trovarsi con il PC compromesso da malware e questo anche perche' come accade spesso, nelle prime ore di diffusione dello spam, non tutti i softwares AV parrebbero riconoscere il file linkato come pericoloso.

Edgar

Nessun commento: