Articoli di approfondimento sulla diffusione di Malware principalmente legati al nostro territorio Italiano ma non solo.

analisi di VirusTotal

Proseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.

Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:

Subject: INPS: Preavviso di accertamento per la pratica 33905717

From: “Shafira Chaney” <[email protected]>

testo:

Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.

 

Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non  sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).

Clausola di riservatezza

Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.

Notice to recipient

This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.

—————————————

Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!

 

analisi di VirusTotal

 

Sebbene il sorgente della mail mostri un invio da client di posta Microsoft

X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

si ha in realtà evidenza dell’utilizzo di uno script php quale mailer

X-PHP-Originating-Script: 48:mailout.php

apparentemente inoculato in un sito statunitense basato su WordPress.

falsa mail

Prosegue il tentativo di infezione rilevato nei giorni scorsi con l’invio di false mail apparentemente provenienti da servizi di corrieri.

I veicoli di infezione impiegati oggi dei criminali sono due differenti mail apparentemente inviate da TNT e da Corriere Bartolini.

falsa mail

 

 

Subject: NUMERO TRACKING N* 7277 – 4132 – 1994 – 1678

From: “Servizi TNT” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

Link: hXXp://bagmar[DOT]com/order/fattura1.pif?[email protected]

 

falsa mail

 

Subject: NUMERO TRACKING N* 5790 – 3514 – 4884 – 2180

From: “BARTOLINI” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

link: hXXp://bagmar[DOT]com/order/[email protected]

Sulle  mail box di Libero e Virgilio i messaggi vengono inseriti nella directory SPAM.

Al momento sembrerebbe che qualcosa non sia andato nel verso giusto per i criminali: le mail inviate poco prima delle ore 09:00 CET richiamano loghi non presenti ed anche i file eseguibili, con estensione PIF, non sono più presenti.

L’assenza di tali file è presumibilmente da  imputarsi alle richieste di  bonificato e messo in sicurezza del sito web, inoltrate da D3Lab nei giorni scorsi, a causa dell’utilizzo del sito in numerosi casi di phishing.

altri attacchi di phishing facenti uso del medesimo sito compromesso

 

Il ripetersi del tentativo di infezione, ad opera dei medesimi autori, già distintisi per una vivace attività nell’ambito del phishing tradizionale, lascerebbe tuttavia supporre che gli stessi abbiano avuto un positivo riscontro dalla precedente azione, nonostante la presenza di numero errori grammaticali nel testo del messaggio.

mail fraudolenta

E’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.

Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,

 

mail fraudolenta

 

presenta le seguenti caratteristiche

Mittente apparente: “TNT” <[email protected]>

Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312

testo (html):

Buongiorno,

Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

 

———————————

Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows

 

$ file fattura.pif 

fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 

Al momento attuale su VirusTotal il file ha uno score di 8/57

responso VirusTotal 

 

Appare interessante rilevare negli headers della mail:

– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio

Message-ID: <[email protected]>

– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente

Received: from 212.48.24.20 ([185.7.213.127])

by smtp-08.iol.local with bizsmtp

id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100

– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio

X-Mailer: The Bat! (v1.52f) Business

 

il link da cui viene proposto il download del file è il seguente

hxxp://hassanbrothers[DOT]com/[email protected]

L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso

utilizzo del medesimo url in casi di phishing

ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.

Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.

Update ore 21:54 09/02/2014:

il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.