mercoledì 9 maggio 2012

Ordine di pagamento dettaglio...La richiesta ha avuto esito negativo....Nuova distribuzione di spam pericoloso ai danni di utenti IT. ( 9 maggio)

Che si tratti di spam malware orientato ad utenza italiana non ci sono dubbi visiti i numerosi riferimenti ad aziende IT nel testo della mail e, comunque, anche dal nome del file zip linkato. (aggiornare.pdf (spazi bianchi) .exe)

Quello che invece e' cambiato rispetto ai casi precedenti (vedi esempio questo post) e' la struttura del nome file del malware incluso nello zip.

In passato infatti era stato fatto ampio uso di files eseguibili mascherati nell'estensione .exe da una lunga serie di underscore ( ___________ ) che comunque lasciavano qualche dubbio sulla reale struttura del nome del file.

Adesso, come si nota dallo screenshot, si usano spazi bianchi per rendere non visibile, se la finestra a video non e' dimensionata adeguatamente, l'estensione .EXE.
Ecco come appare il contenuto dello .zip


Notate i 3 punti in coda al nome del file che vogliono significare che c'e' ancora qualcosa da visualizzare.... oltre l'estensione .PDF.

Stessa cosa se estraiamo il contenuto dello zip e lo visualizziamo nel file manager.


Per quanto si riferisce alla mail abbiamo sia l'utilizzo di nome legittimo di azienda IT per quanto si riferisce al testo, ma anche il nome di noto gruppo bancario IT nelle info presenti a fine mail.

Inoltre si nota sempre la caratteristica di questo genere di messaggi con link a malware che tentano di incuriosire chi le ricevesse tentando di fargli cliccare sul contenuto .zip che viene fatto passare come un innocuo PDF ma che come abbiamo visto e' un file eseguibile.

Questa una analisi VT che mostra come al solito, un riconoscimento non esteso per i contenuti malevoli

con


mentre un whois del sito, probabilmente compromesso, su cui e' hostato il malware punta a

Il fatto che si tratti di sito romeno non e' comunque rilevante al riguardo dell'origine del malware in quanto di solito siamo di fronte a siti compromessi e quindi la locazione e' del tutto ininfluente sulle origini dello spam.

Edgar

Nessun commento: