Malware con mail TNT

mail fraudolenta

E’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.

Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,

 

mail fraudolenta

 

presenta le seguenti caratteristiche

Mittente apparente: “TNT” <[email protected]>

Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312

testo (html):

Buongiorno,

Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

 

———————————

Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows

 

$ file fattura.pif 

fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 

Al momento attuale su VirusTotal il file ha uno score di 8/57

responso VirusTotal 

 

Appare interessante rilevare negli headers della mail:

– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio

Message-ID: <[email protected]>

– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente

Received: from 212.48.24.20 ([185.7.213.127])

by smtp-08.iol.local with bizsmtp

id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100

– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio

X-Mailer: The Bat! (v1.52f) Business

 

il link da cui viene proposto il download del file è il seguente

hxxp://hassanbrothers[DOT]com/[email protected]

L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso

utilizzo del medesimo url in casi di phishing

ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.

Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.

Update ore 21:54 09/02/2014:

il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.