Nuovamente attivo lo spam malware ai danni di utenti IT della rete.
Questa una delle mail ricevute
che attraverso un testo che informa dell'allegata foto, tenta di far cliccare ed eseguire in realta' un file malware.
Ecco gli headers presenti in mail
Per quanto si riferisce all'allegato si tratta di un
file zip che contiene il 'solito' eseguibile .scr (vedi post precedenti)
e che ad una analisi VT vede un
veramente basso riconoscimento, al momento della ricezione della mail
Passata qualche ora abbiamo un
maggiore riconoscimento malware, come si vede da questa ulteriore analisi VT
Da notare come la mail presenti vari
indirizzi di mailbox tutti comunque IT a cui e' stato inviato il fake file foto.
Quasi si trattasse di una azione coordinata, dopo qualche ora sono state ricevute diverse mails, questa volta in lingua inglese, che a grandi linee, ricalcano la mail descritta in precedenza.
Qui vediamo alcuni layout
dove invece che la fake foto viene indicato un allegato relativo a pagamento o acquisto ma anche nel testo un riferimento al nostro passaporto, tutti argomenti volti a farci cliccare sull'eseguibile malware allegato.
Le analogie con lo spam IT sono diverse come ad esempio
l'uso di files .scr
ed anche l'invio multiplo a diversi utenti internet anche se questa volta non solo IT.
Da notare poi come in queste ultime mail siano stati inseriti ben due allegati, uno informato zip e uno in formato rar quasi a cautelarsi che chi riceve il messaggio abbia comunque una alternativa per visionare il file allegato.
In queste recenti mails una analisi VT mostra un quasi nullo riconoscimento malware
ed anche
mentre una analisi md5 mostra che i files sono gli stessi nelle due mails analizzate pur presentando differente nome dell'allegato
Gli
headers di questo secondo gruppo di mails vedono IP
e
In definitiva un intenso spam che nella semplicita' dei messaggi mail potrebbe comunque essere abbastanza 'efficace' visto anche il quasi nullo riconoscimento da parte degli AV nelle prime ore di invio delle mails.
Edgar