Attenzione alle finte richieste via mail

Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

Gentile cliente,
come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

Saluti
______________________________
Aruba S.p.A.
Servizio Clienti - Aruba.it
http://www.aruba.it
http://assistenza.aruba.it
Call center: 0575/0505
Fax: 0575/862000
______________________________

Prima di buttare la mail ho voluto fare qualche analisi.

Gli header SMTP rivelano che la mail è partita da un IP giapponese, 150.4.9.21, probabilmente un host hackerato o zombizzato.

Il file allegato è xxxxxxxxx_xxxxxxxxx.pdf.zip dove al posto delle x ci sono delle cifre. Notare l’uso della doppia estensione per tentare di confondere chi ha disabilitato (come da default di Windows) la visualizzazione delle estensioni. Questo zip con SHA1 8f6c917145a3e18f7038658e3f123ede06e1f03a viene riconosciuto come pericoloso da 15 antivirus di VirusTotal.

Il file dentro l’archivio compresso è xxxxxxxxx_xxxxxxxxx.pdf.pif, anche in questo caso è stato usato il trucco della doppia estensione. Questo file con SHA1 6bc3d2ac9313bcfeb18e40e118fff8558ab733d7 viene riconosciuto pericoloso solamente da 11 antivirus di VirusTotal.

L’eseguibile è con ogni probabilità un trojan che, una volta attivato, contatta il suo centro di controllo (C&C) per prendere ordini.

Questo metodo di attacco è abbastanza inutile contro persone accorte o con una certa preparazione tecnica, ma ha un alto indice di successo contro chi non è stato abituato o addestrato a diffidare di ogni tipo di mail con allegati sospetti.


Pubblicato

in

da

Commenti

5 risposte a “Attenzione alle finte richieste via mail”

  1. Avatar Massimo Luciani

    Tra i mille tentativi di phishing immediatamente riconoscibili per chi abbia qualche neurone funzionante ogni tanto se ne trova qualcuno che invece è fatto davvero bene. Ciò insegna che bisogna sempre tenere alto il livello di attenzione su questi problemi!

  2. Avatar Stefano Petroni
    Stefano Petroni

    Arrivate pure a me. L’antivirus del mail server le ha correttamente intercettate.

  3. Avatar mimo ano
    mimo ano

    beccati almeno due che hanno aperto l’allegato u_u

  4. Avatar Gianni
    Gianni

    Due colleghi subito subito hanno aperto… ma questo tipo di email era molto plausubile nella forma

  5. Avatar Matteo Sgalaberni

    anche io ieri ho aperto una fattura di TIM contento che mi avessero inviato il pdf in allegato, ma dentro c’era un PIF 😉

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *