Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.
L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it
e come oggetto Invio copia bollettino
. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:
Gentile cliente,
come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.
Saluti
______________________________
Aruba S.p.A.
Servizio Clienti - Aruba.it
http://www.aruba.it
http://assistenza.aruba.it
Call center: 0575/0505
Fax: 0575/862000
______________________________
Prima di buttare la mail ho voluto fare qualche analisi.
Gli header SMTP rivelano che la mail è partita da un IP giapponese, 150.4.9.21, probabilmente un host hackerato o zombizzato.
Il file allegato è xxxxxxxxx_xxxxxxxxx.pdf.zip
dove al posto delle x
ci sono delle cifre. Notare l’uso della doppia estensione per tentare di confondere chi ha disabilitato (come da default di Windows) la visualizzazione delle estensioni. Questo zip con SHA1 8f6c917145a3e18f7038658e3f123ede06e1f03a
viene riconosciuto come pericoloso da 15 antivirus di VirusTotal.
Il file dentro l’archivio compresso è xxxxxxxxx_xxxxxxxxx.pdf.pif
, anche in questo caso è stato usato il trucco della doppia estensione. Questo file con SHA1 6bc3d2ac9313bcfeb18e40e118fff8558ab733d7
viene riconosciuto pericoloso solamente da 11 antivirus di VirusTotal.
L’eseguibile è con ogni probabilità un trojan che, una volta attivato, contatta il suo centro di controllo (C&C) per prendere ordini.
Questo metodo di attacco è abbastanza inutile contro persone accorte o con una certa preparazione tecnica, ma ha un alto indice di successo contro chi non è stato abituato o addestrato a diffidare di ogni tipo di mail con allegati sospetti.
Lascia un commento