Ritornano le mails con allegato file malware (16 luglio)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.
Questa una delle mail ricevute 

che attraverso un testo che informa dell’allegata foto, tenta di far cliccare ed eseguire in realta’ un file malware.
Ecco gli headers presenti in mail

Per quanto si riferisce all’allegato si tratta di un file zip che contiene il ‘solito’ eseguibile .scr (vedi post precedenti)

e che ad una analisi VT vede un veramente basso riconoscimento, al momento della ricezione della mail

Passata qualche ora abbiamo un maggiore riconoscimento malware, come si vede da questa ulteriore analisi VT

Da notare come la mail presenti vari indirizzi di mailbox tutti comunque IT a cui e’ stato inviato il fake file foto.

Quasi si trattasse di una azione coordinata, dopo qualche ora sono state ricevute diverse mails, questa volta in lingua inglese, che a grandi linee, ricalcano la mail descritta in precedenza.

Qui vediamo alcuni layout

dove invece che la fake foto viene indicato un allegato relativo a pagamento o acquisto ma anche nel testo un riferimento al nostro passaporto, tutti argomenti volti a farci cliccare sull’eseguibile malware allegato.

Le analogie con lo spam IT sono diverse come ad esempio l’uso di files .scr 

ed anche l’invio multiplo a diversi utenti internet anche se questa volta non solo IT.
Da notare poi come in queste ultime mail siano stati inseriti ben due allegati, uno informato zip e uno in formato rar quasi a cautelarsi che chi riceve il messaggio abbia comunque una alternativa per visionare il file allegato.
In queste recenti mails una analisi VT mostra un quasi nullo riconoscimento malware

ed anche

mentre una analisi md5 mostra che i files sono gli stessi nelle due mails analizzate pur presentando differente nome dell’allegato

Gli headers di questo secondo gruppo di mails vedono IP

e

In definitiva un intenso spam che nella semplicita’ dei messaggi mail potrebbe comunque essere abbastanza  ‘efficace’ visto anche il quasi nullo riconoscimento da parte degli AV nelle prime ore di invio delle mails.

 Edgar