Mail con oggetto Documento

Oggi abbiamo ricevuto una mail molto semplice con oggetto Documento dove qualcuno voleva mandarci una fattura da un indirizzo sulla rete di fastweb.

Si presenta così:

mail.png

Analizzando gli headers della mail si vede che il server di partenza è situato in Cina:

headers.png

Facendo analizzare l’allegato su virustotal si scopre che il carico nocivo è ben conosciuto dagli antivirus più commerciali:

virustotal.png

Mail con oggetto gls Avviso giacenza

Oggi è arrivata una mail che ci informava che Gls aveva un pacco non consegnato o almeno questo è quello che voleva farci credere. Si presenta in maniera molto formale come potete vedere qui sotto:

mail

Analizzando gli headers della mail scopriamo che il server di partenza è situato in Cina:

headers

Facendo una scansione su virustotal si vede che il rilevamento è molto alto da quasi tutti gli antivirus commerciali:

virustotal

Mail con oggetto Richiesta in oggetto

Oggi abbiamo ricevuto questa mail con oggetto Richiesta in oggetto da parte di qualcuno che voleva farsi passare per Telecomitalia.it. La mail si presenta in maniera molto formale e curata, con tanto di numero di protocollo:

mail

Analizzando gli headers, si nota la presenza di un nodo posto sulla rete di Fastweb.it quindi sul territorio italiano:

headersLa scansione su virustotal da un riscontro abbastanza basso, sintomo di una pericolosità molto elevata:

virustotal

Mail con oggetto Invio Fattura Noleggio Stampante

Oggi è arrivata una mail con oggetto Invio Fattura Noleggio Stampante che sembrava provenire da Aruba.it. La mail si presenta in maniera abbastanza formale, forse un pò sformattata ecco:

mail

Facendo un’ analisi degli headers della mail si vede che è partita da un server compromesso che sta in Giappone:

headers

Per quanto riguarda la scansione su virustotal vediamo che il rilevamento è ancora basso, sintomo di un alta pericolosità:

virustotal

Attacco DDOS alla nostra vps e come proteggersi

Martedì mattina il server che ci ospita è stato messo sotto attacco ddos sfruttando una falla del sistema wordpress ovvero la richiesta continuativa del file xmlrpc.php da parte di due indirizzi ip che andremo ad analizzare dopo. Ovviamente stamo parlando di tantissime richieste al minuto che hanno saturato la memoria del server.

Gli indirizzi che hanno lanciato l’attacco sono il 191.96.249.53 e il .54 finale. Come potete vedere sono ben  noti nei database delle blocklist per molte segnalazioni al riguardo.

La parte che ci interessa di più però è come proteggersi da una cosa del genere. Io ho usato un metodo spartano, ma efficace 😀

Nel file htacces del mio wordpress ho inserito questa stringa che blocca appunto le connessioni da quegli ip:

 

Mail con oggetto Copia Bollettino

Oggi è arrivata una mail che sembrava arrivare da Aruba.it con oggetto Copia Bollettino che  si presenta in maniera molto simili a quelle ufficiali:

mailAnalizzando gli headers del messaggio si nota come sia partito da un pc infetto sulla rete di telecom italia:

headersPer quanto riguarda l’allegato si nota da una scansione su virustotal quando sia pericoloso, ma soprattutto riconosciuto dai vari antivirus commerciali:

virustotal

Mail con oggetto Comunicazione servizio Telepass

Oggi è arrivata una mail molto curata dalla rete telepass.it con oggetto Comunicazione servizio Telepass. Si presenta in maniera molto formale come ti aspetti che siano quelle mail:

mail_telepass

L’analisi degli headers è risultata strana, in effetti ad un occhiata veloce la mail sembra partite dalla rete *.gruppo.autostrade.it, quindi legittima, ma la cosa che mi ha fatto insospettire è stato l’ip segnato sotto:

headers

Facendo qualche indagine in più ho scoperto che si tratta di un indirizzo ip allocato presso una società americana:

whoisipstart

La scansione su virustotal ha dato riscontri molto alti quindi ragazzi cancellate senza paura:

virustotal

Mail con oggetto Offerta-contratto

Oggi abbiamo ricevuto una mail proveniente dalla rete di Libero.it con oggetto Offerta-contratto che si presenta in maniera molto formale:

mailLa particolarità di questo tentativo di infezione è che andando ad analizzare gli headers della mail scopriamo che l’ip infetto da cui è partito è sulla rete del noto provider Fastweb:

headersLa scansione fatta dell’allegato su virustotal porta ad un riconoscimento molto alto del carico dannoso che possiamo identificare in un ramsonware di qualche tipo:

virustotal

Mail con oggetto Phone Photo

Oggi è arrivata una mail molto semplice che sembrava provenire da gmail.com e con oggetto Phone Photo.

Si presenta in maniera abbastanza semplice come potete vedere qui sotto:

mailAnalizzando gli headers del messaggio scopriamo che, come già capitato precendetemente, il server di partenza è situato in Spagna:

headersAnalizzando il file allegato il riscontro con gli antivirus commerciali su virustotal è molto alto:

virustotal

Mail con oggetto Invio Documenti

Oggi è arrivata una mail “affettuosa” che sembrava essere mandata dalla rete di yahoo.it con oggetto Invio Documenti.

Si presenta così e capirete il perchè dell’affettuoso:

mail

Facendo un analisi degli headers si vede che il server di partenza è situato in Belgio:

headers

La scansione su virustotal evidenzia il carico nocivo e il fatto che è ben conosciuto dai principali antivirus:

virustotal