Proseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.

Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:

Subject: INPS: Preavviso di accertamento per la pratica 33905717

From: “Shafira Chaney” <[email protected]>

testo:

Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.

 

Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non  sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).

Clausola di riservatezza

Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.

Notice to recipient

This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.

—————————————

Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!

 

 

Sebbene il sorgente della mail mostri un invio da client di posta Microsoft

X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

si ha in realtà evidenza dell’utilizzo di uno script php quale mailer

X-PHP-Originating-Script: 48:mailout.php

apparentemente inoculato in un sito statunitense basato su WordPress.

E’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.

Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,

 

 

presenta le seguenti caratteristiche

Mittente apparente: “TNT” <[email protected]>

Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312

testo (html):

Buongiorno,

Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

 

———————————

Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows

 

$ file fattura.pif 

fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 

Al momento attuale su VirusTotal il file ha uno score di 8/57

 

 

Appare interessante rilevare negli headers della mail:

– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio

Message-ID: <[email protected]>

– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente

Received: from 212.48.24.20 ([185.7.213.127])

by smtp-08.iol.local with bizsmtp

id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100

– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio

X-Mailer: The Bat! (v1.52f) Business

 

il link da cui viene proposto il download del file è il seguente

hxxp://hassanbrothers[DOT]com/[email protected]

L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso

ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.

Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.

Update ore 21:54 09/02/2014:

il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.