Mail con oggetto Invio documento n.6712182360 emesso il 15/02/2017

Questa mattina è arrivata una mail da rete @register.it con oggetto Invio documento n.6712182360 emesso il 15/02/2017

A leggerla sembra una mail normalissima mandata da un crm o qualche sistema di fatturazione:

Analizzando con più attenzione questa mail troviamo che è partita da un ip su subnet interbusiness.it:

Facendo una scansione con il fido virustotal scopriamo che il payload è riconosciuto ma da pochissimi antivirus commericali quindi molto pericoloso:

Mail con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC

Oggi ho ricevuto nella casella mail un messaggio con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC che aveva tutta l’aria di essere una bolletta inviata da enelenergia. Si presenta così:

Andando ad analizzare gli headers il server di partenza è situato in Olanda e per quanto riguarda l’allegato ad una scansione di virustotal risulta positivo alla rilevazione in maniera abbastanza alta:

 

Mail con oggetto: La tua carta d’imbarco

Oggi è arrivata una mail, che volevo fosse vera, perchè narrava di carte d’imbarco su qualche aereo dell’Alitalia e visto lo stress che sto passando in questi giorni, magari fosse stata vera, purtroppo era il tentativo di infettare qualche pc…
La mail si presenta in maniera molto professionale:

Analizzando gli headers della mail si vede che il server di partenza è situato in una subnet che appartiene ad una società tailandese:

 

Una volta che facciamo analizzare la famosa carta d’imbarco scopriamo che è farcita di malware:

Nemucod e Facebook

Gira sulle bacheche italiane un messaggio dove si dice di prestare attenzione a Nemucod un virus che avrebbe infettato Facebook e che avrebbe un potere distruttivo su pc, telefoni e forse anche sulle pentole a pressione….

Il messaggio è più o meno queto che vedete qui sotto:

bufala

Bhè diciamo che Nemucod è un virus, ma che arriva via mail ed è una minaccia che è apparsa via mail quest’anno verso marzo come potete leggere qui Quindi occhio alle mail che vi arrivano ma potete tranquillamente bollire l’acqua 😀

Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

Vai alla barra degli strumenti