Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

Rispondi