Mail con oggetto Fattura n. 72.648 del 12.07.16

Oggi è arrivata una mail con oggetto Fattura n. 72.648 del 12.07.16. Si presenta in maniera molto formale come dovrebbe essere una mail del genere:

mail1Analizzando gli headers di provenienza della mail scopriamo che il server di partenza è situato in Texas:

headers1

Facendo un’analisi dell’allegato su virustotal si ottiene un riscontro molto basso, segnale di una pericolosità elevata:

virustotal1

Mail con oggetto Comunicazione servizio Telepass

Oggi è arrivata una mail molto curata dalla rete telepass.it con oggetto Comunicazione servizio Telepass. Si presenta in maniera molto formale come ti aspetti che siano quelle mail:

mail_telepass

L’analisi degli headers è risultata strana, in effetti ad un occhiata veloce la mail sembra partite dalla rete *.gruppo.autostrade.it, quindi legittima, ma la cosa che mi ha fatto insospettire è stato l’ip segnato sotto:

headers

Facendo qualche indagine in più ho scoperto che si tratta di un indirizzo ip allocato presso una società americana:

whoisipstart

La scansione su virustotal ha dato riscontri molto alti quindi ragazzi cancellate senza paura:

virustotal

Mail con oggetto Invio Documenti

Oggi è arrivata una mail “affettuosa” che sembrava essere mandata dalla rete di yahoo.it con oggetto Invio Documenti.

Si presenta così e capirete il perchè dell’affettuoso:

mail

Facendo un analisi degli headers si vede che il server di partenza è situato in Belgio:

headers

La scansione su virustotal evidenzia il carico nocivo e il fatto che è ben conosciuto dai principali antivirus:

virustotal

Mail con oggetto Italo – conferma

Nella giornata di ieri sono arrivate un sacco di mail con oggetto Italo – conferma che dentro recavano un codice di un fantomatico biglietto per il treno ad alta velocità Italo ma che in realtà non avevano nulla a che vedere con quello.

La mail si presentava in maniera molto scarna con allegato e un codice nel testo:

mail1

Andando ad analizzare gli headers del messagio mail si scopre che la partenza è avvenuta da un server posto in Vietnam:

headers1Analizzando il tutto con virustotal si nota una rilevazione molto alta anche se alcuni antivirus come Amavis usato nella maggior parte dei server di posta lo ha lasciato passare:

virustotal1

Mail contenente malware da Libero.it

Nella giornata di oggi è arrivata una mail da Libero.it o per lo meno che sembra provenire da li ma in realtà fa parte di una campagna per spacciare qualche malware o ransomware.

La mail si presenta in maniera molto semplice, anche un pò sgrammaticata:

mail

Se andiamo ad analizzare gli headers della mail scopriamo che il server di partenza sta in Spagna:

headers

Il rilevamento su virustotal è molto basso, indice di una pericolosità molto elevata, quindi state mooolto attenti 😀

 

virus

Mail con oggetto alla segreteria

Oggi dopo un bel pò di tempo dove tutto sembrava tranquillo abbiamo ricevuto nelle nostre mailbox una serie di mail che portavano lo stesso allegato. Per l’analisi prenderò in considerazione solo la prima, le altre variano solo come mittenti ma non come testo e come contenuto.

La mail in oggetto si presenta così:

mail

Analizzando i vari headers della mail si vede che la spedizione è stata effettuata da un server polacco e questo è una cosa che si ripercuote su tutte e 3 le mail ricevute in questo momento:

headers

headers1

Facendo un analisi dell’allegato con virustotal scopriamo tutto il suo carico di malware:

virustotal

Mail con oggetto Invio nota prot. n. 09712 del 21/09/2015

Oggi abbiamo ricevuto in duplice copia una mail con oggetto Invio nota prot. n. 09712 del 21/09/2015 che sembrava provenire da un indirizzo su live.com.
E’ molto semplice come potete vedere da questo allegato:

mail

Facendo un’analisi degli headers di questa email si evince che il server di partenza è situato in Turchia e più precisamente in questa network:

Per quanto riguarda l’allegato presenta un riconoscimento molto basso rispetto ai più commerciali degli antivirus, rendendolo così molto pericoloso.

virustotal

Mail con oggetto Stampa

Oggi è arrivata nelle nostre caselle di posta una mail molto semplice che a prima vista sembra arrivare da una mail presente su hotmail.it con oggetto Stampa e si presenta così:

stampa

Facendo un’analisi degli header della mail si vede che la network di partenza è situata in Polonia e più precisamente facente parte di questo gruppo di indirizzi:

Facendo una scansione con virustotal notiamo che l’allegato presente ha un alto riconoscimento presso gli antivirus commerciali più blasonati, mentre rimane sconosciuto ai più:

virustotal

Mail con oggetto MMS: 00393714117261

Oggi è arrivata in duplice copia quindi potenzialmente una campagna molto ampia di infezione, una mail che sembrava provenire dalla rete di vodafone.it e che aveva come soggetto MMS: e un numero di telefono randomico. Si presenta in maniera molto scarna:

mail

Facendo un’analisi degli header l’indirizzo di partenza risulta appartenere alla seguente network:

L’allegato contenuto è molto conosciuto a tutti gli antivirus free e commerciali come rivela la scansione su virustotal:

virustotal

Mail con oggetto fattura 2015 sep

Oggi è arrivata una mail che sembrava provenire da una nota azienda di macchine, Volkswagen e che parlava di una fattura di noleggio nell’allegato.

La mail usata per questa infezione risiede, come spesso accade, su libero.it e si presentava così:

mail

Facendo qualche ricerca più approfondita sugli header della mail scopriamo che l’indirizzo di partenza è situato in Corea e più precisamente appartenente a questa subnet:

Facendo una scansione su virustotal abbiamo un riscontro molto basso, segnale di una pericolosità abbastanza alta visto che gli antivirus non sempre riconoscono il pattern virale:

virustotal