venerdì 5 aprile 2013

'Carolina Marconi viene trovato morto nella sua abitazione all'alba del 03'.Falsa notizia collegata a nuova distribuzione spam malware altamente ingannevole (5 aprile)

Nelle ultime settimane sembra esserci un notevole incremento di spam malware ai danni di utenti IT della rete.
Si tratta di un intenso invio di mails dal testo costruito ad arte e dai loghi tratti da siti legittimi solo allo scopo di ingannare chi ricevesse i messaggi e fargli scaricare e aprire sul pc dei files eseguibili pericolosi.
A riprova di questo ecco una mail altamente ingannevole ricevuta questa mattina (ora thai) che utilizza un riferimento a falsa notizia di stampa con mittente


e logo in mail relativo a diffuso quotidiano italiano:



L'oggetto mail,con testo italiano con qualche errore, si riferisce a notizia fake che coinvolge una attrice e showgirl venezuelana nota in Italia (vedi Wikipedia)
Naturalmente il link in mail punta in realta' a file eseguibile .com e la cui analisi rivela qualche sorpresa.
L'eseguibile infatti e' hostato sul medesimo servizio di hosting Amazon Cloud visto ieri per il fake telegramma PosteIt (vedi  precedente post) ma, cosa ancora piu' rilevante, il file analizzato da VT presenta identico nome di quello visto ieri 'Vario mio' ed identica dimensione tanto da far pensare che si tratti di un file malevolo molto simile se non uguale per contenuti, al precedente.
Ecco internamente al file le stringhe di testo che sono simili a quelle trovate nel fake file del telegramma PosteIT


Si tratterebbe cioe' della stessa distribuzione malware che esaurito lo stratagemma del fake telegramma PosteIT passa ora a nuovo 'argomento' in grado di incuriosire chi ricevesse la mail per fargli scaricare l'eseguibile denominato   carolina_marconi_viene_trovato_morto.com  ed aprirlo con tutte del conseguenze de caso.

Vediamo qualche dettaglio:

Questa la mail


dove notiamo sia il logo di Repubblica sotto forma di immagine tratta dal legittimo sito che il fake link che punta in realta' all'eseguibile malware.
Ecco il source mail che conferma quanto sopra


mentre l'header mail presenta questa probabile origine dello spam pericoloso.


Cliccando sul link in mail abbiamo il download di file eseguibile


Una analisi VT vede, come c'era da aspettarsi, un basso riconoscimento


con


e se confrontiamo con il fake eseguibile del telegramma posteIT visto ieri 


troviamo molte analogie sia come nome del file visto da VT che come contenuti malware


Inoltre in entrambi i casi (fake telegramma e fake news) abbiamo, tra l'altro, medesimo hosting su servizio di Amazon cloud.

E' quindi molto probabile che si tratti di una azione di diffusione malware che continua la precedente e ora sfrutta differente argomento sempre altamente ingannevole se non addirittura ancora piu' pericoloso vista la  novita' di associare la mail anche a noto e diffuso quotidiano italiano.
Infatti, come ben sappiamo da quanto succede nel phishing, proporre contenuti che si basano su loghi e riferimenti a reali aziende rende credibile un messaggio fake e puo' facilmente portare, chi ricevesse la mail, a considerarla legittima e dai contenuti 'sicuri'.

Nota:
Vedere anche ulteriore  aggiornamento con nome di Francesco Totti per il file malware.

Edgar

Nessun commento: