sabato 13 settembre 2014

Messaggio di posta elettronica certificata (PEC) con allegato malware (13 settembre)

Ricevuta questa mail


con layout che parrebbe essere quello di mail PEC (Posta elettronica certificata).
Naturalmente l'oggetto dell'allegato fa subito pensare all'ennesima distribuzione di malware sotto forma di eseguibile contenuto in file .zip.

L'analisi degli headers mail mostra 


con entrambi gli IP su range italiano.
In particolare il primo IP parrebbe essere localizzato come


mentre il secondo confermerebbe che il messaggio mail e' transitato in relay.cert.legalmail.it, .


e quindi che si tratta di reale messaggio PEC 

Una ricerca del mittente mail presso il sito del 'Ministero dello Sviluppo Economico' https://www.inipec.gov.it/ conferma l'esistenza dell'indirizzo PEC utilizzato


,indirizzo mail che trova riscontro anche nella  ricerca sul sito dell'Ordine Professionale di appartenenza del mittente  


Questo l'allegato mail 


con l'eseguibile presente all'interno del file .ZIP e che VT vede come


con riconoscimento abbastanza basso da parte dei softwares antivirus


Naturalmente il fatto che il messaggio si presenti come mail PEC aggiunge una maggiore credibilita' ai contenuti allegati, cosa che potrebbe convincere chi lo riceve che si tratta di un autentico allegato di file immagine (foto.scr).

Per quanto riguarda il fatto che si sia usata una probabile legittima mail certificata per lo spam malware ci sono diverse possibilita'.
Sicuramente non e' da escludere il fatto che le credenziali di accesso alla mailbox PEC siano state acquisite attraverso azione fraudolenta di phishing (di falsi login di phishing a mailbox fake ne vediamo online a centinaia ogni giorno) e siano poi state utilizzate per l'invio dello spam malware.
Da notare come l'invio del messaggio risulti effettuato a 10 diversi indirizzi mail tra  cui quello di una mailbox del blog usata nell'analisi dello spam.

Tra l'altro la geo-localizzazione del primo IP utilizzato e visibile nell'header mail e' abbastanza  'distante' dal luogo del nord Italia dove parrebbe essere residente il mittente PEC e la sua attivita' professionale.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)