GLS_Finta_Comunicazione

Una nuova andata di ransomware giunge agli utenti attraverso eMail solo apparentemente inviate dal vettore nazionale GLS. Il messaggio di posta con oggetto “GLS Italy – Notifica spedizione E4 369026685” informa l’utente che l’azienda “CASTELLARI SRL” ha inviato un collo al destinatario “CLIENTE SRL” e che è possibile seguire lo stato d’avanzamento della spedizione direttamente sul sito di GLS all’indirizzo riportato.

Selezionando l’indirizzo “http://www.gls-italy.com/track_trace_user.asp?locpartenza=E4&numsped=369026685” avviene il download di un file compresso in formato ZIP denominato “informazionispedizione.zip” contenente un JavaScript che ha l’onere di scaricare ed eseguire il malware. Il file JavaScript confonde l’utente sfruttando la doppia estensione .PDF.JS ed è stato offuscato per impedire un immediata analisi.

Analizzando l’Header dell’eMail rileviamo lo sfruttamento di una casella eMail del Gruppo Buffetti per l’invio massivo del Phishing, è probabile che ignari utenti siano entrati in possesso delle credenziali della casella di posta e l’abbiano sfruttata per inviare le comunicazioni fraudolente.

GLS_Header_eMail

La scansione su VirusTotal, dopo pochi minuti dalla ricezione dell’eMail, del file .cab scaricato dal downloader JavaScript riporta il rilevamento della minaccia da parte di soli 3 Antivirus su 53.

GLS_Malware

 

3 commenti
    • Andrea Draghetti
      Andrea Draghetti dice:

      Sfruttando un server SMTP che richiede l’autenticazione, in questo caso Buffetti, e non allegando alcun contenuto malevolo si riesce tranquillamente a scalare il punteggio di SpamTitan risultando quindi una comunicazione legittima.

      Rispondi

Trackbacks & Pingbacks

  1. […] internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che […]

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi