Mentre siamo di fronte ad una probabile nuova 'campagna' di spam con caratteristiche simili a quelle gia' descritte in numerosi post (presenza in molti casi della stringa di caratteri 'Monte Biz' nel testo del messaggio mail), da qualche giorno sembra essersi intensificata anche una distribuzione di spam pericoloso con caratteristiche leggermente diverse.
Si tratta di mails dal breve testo in lingua italiana e non sempre corretto, che presenta anche uno o piu' links a malware non sotto forma di file scaricabile ,come accadeva per i casi 'Monte Biz', ma come link a serie di redirects che puntano a pagina contente exploits.
La struttura dei messaggi ricalca il ben noto utilizzo di testo che cerca di incuriosire chi ricevesse la mail facendogli cliccare il link malevolo mentre, se la vulnerabilita' interessata dall'exploit e' presente sul pc colpito, potranno esserci download ed esecuzione di malware in maniera automatica.
L'analisi di detti link non e' facile in quanto i siti che ospitano i codici pericolosi sembrano non raggiungibili con IP thai e comunque potrebbero essere volutamente tenuti ON-line per brevi intervalli di tempo e venire sostituiti spesso da differenti e nuovi links ad exploit.
Ecco alcuni dettagli:
Questa una delle mails ricevute
dove notiamo un testo che cerca di incuriosire chi ricevesse il messaggio attraverso notizie fasulle ed uso di nomi di servizi di webmail o di providers italiani
Analizzando il link e seguendo i vari redirects abbiamo
con destinazione finale su url che appare offline
Passando detto indirizzo ad un servizio di analisi malware otteniamo comunque questo risultato
che mostra come su detto sito sia presente un exploit PDF.
Vediamo ora altre 2 delle mails ricevute
e
che anche in questo caso mostrano il link con serie di redirects che puntano al medesimo dominio visto prima
Questa un'altra interessante mail il cui messaggio sembra composto da parti di testo generato forse attraverso ricerche di testi in rete e comunque ulteriormente 'modificato' prima di venire utilizzato.
Cercando in rete troviamo infatti
da cui
che,come si vede, parrebbe avere qualche riferimento con i contenuti del messaggio in mail, anche se alcune parole sono ulteriormente 'modificate'
Notate anche come compaiano nel link, riferimenti a nota azienda italiana.
Una ricerca mostra che il link e' sempre in relazione con il dominio malevolo visto nei casi precedenti.
Per terminare altri due esempi simili ai precedenti
e
Indubbiamente si tratta di malware la cui distribuzione attraverso links ad exploit potrebbe facilitarne la diffusione in quanto, come gia' detto, non occorre estrarre da file ZIP (casi Monte Biz) e/o lanciare un eseguibile ma basta un semplice click sul link in mail, per attivare i contenuti malevoli presenti on-line.
Edgar