Ancora malware per utenti IT della rete (16 – 17 aprile)

Nuovamente una distribuzione malware ‘dedicata’ ad utenti IT della rete e che viene attuata tramite il consueto messaggio mail con link a malware.
Il caso odierno vede questa mail, dal testo molto semplice
e che vorrebbe far credere che e’ disponibile una risposta ad una nostra domanda fatta su un non meglio identificato forum.
Da notare come si inviti a scaricare il file presentando in messaggio mail un indirizzo che appare non cliccabile (quindi copia e incolla da parte di chi avesse ricevuto la mail e volesse seguirne le indicazioni)
Una analisi degli headers mail mostra un buon numero di IP di riferimento per il ‘percorso’ seguito dal messaggio.
Il file ZIP contenente il codice malevolo e’ hostato su sito IT probabilmente compromesso
con whois
Si tratta di file ZIP dove vediamo ritornare l’utilizzo della tecnica del nome di file con lunga sequenza di _ (caratteri underscore) allo scopo di mascherare la reale estensione del file (eseguibile EXE).

In pratica l’utente che apre lo zip vede
mentre il file e’     
con estensione .EXE
Una analisi VT  mostra come sempre basso riconoscimento nelle prime fasi della ‘distribuzione’ malware
VT mostra data e time recente quale statistica delle analisi malware riferite al file ZIP
Edgar