Mail con oggetto Fattura n. 72.648 del 12.07.16

Oggi è arrivata una mail con oggetto Fattura n. 72.648 del 12.07.16. Si presenta in maniera molto formale come dovrebbe essere una mail del genere:

mail1Analizzando gli headers di provenienza della mail scopriamo che il server di partenza è situato in Texas:

headers1

Facendo un’analisi dell’allegato su virustotal si ottiene un riscontro molto basso, segnale di una pericolosità elevata:

virustotal1

Mail con oggetto Comunicazione servizio Telepass

Oggi è arrivata una mail molto curata dalla rete telepass.it con oggetto Comunicazione servizio Telepass. Si presenta in maniera molto formale come ti aspetti che siano quelle mail:

mail_telepass

L’analisi degli headers è risultata strana, in effetti ad un occhiata veloce la mail sembra partite dalla rete *.gruppo.autostrade.it, quindi legittima, ma la cosa che mi ha fatto insospettire è stato l’ip segnato sotto:

headers

Facendo qualche indagine in più ho scoperto che si tratta di un indirizzo ip allocato presso una società americana:

whoisipstart

La scansione su virustotal ha dato riscontri molto alti quindi ragazzi cancellate senza paura:

virustotal

Mail con oggetto Invio Documenti

Oggi è arrivata una mail “affettuosa” che sembrava essere mandata dalla rete di yahoo.it con oggetto Invio Documenti.

Si presenta così e capirete il perchè dell’affettuoso:

mail

Facendo un analisi degli headers si vede che il server di partenza è situato in Belgio:

headers

La scansione su virustotal evidenzia il carico nocivo e il fatto che è ben conosciuto dai principali antivirus:

virustotal

Mail con oggetto Italo – conferma

Nella giornata di ieri sono arrivate un sacco di mail con oggetto Italo – conferma che dentro recavano un codice di un fantomatico biglietto per il treno ad alta velocità Italo ma che in realtà non avevano nulla a che vedere con quello.

La mail si presentava in maniera molto scarna con allegato e un codice nel testo:

mail1

Andando ad analizzare gli headers del messagio mail si scopre che la partenza è avvenuta da un server posto in Vietnam:

headers1Analizzando il tutto con virustotal si nota una rilevazione molto alta anche se alcuni antivirus come Amavis usato nella maggior parte dei server di posta lo ha lasciato passare:

virustotal1

Mail contenente malware da Libero.it

Nella giornata di oggi è arrivata una mail da Libero.it o per lo meno che sembra provenire da li ma in realtà fa parte di una campagna per spacciare qualche malware o ransomware.

La mail si presenta in maniera molto semplice, anche un pò sgrammaticata:

mail

Se andiamo ad analizzare gli headers della mail scopriamo che il server di partenza sta in Spagna:

headers

Il rilevamento su virustotal è molto basso, indice di una pericolosità molto elevata, quindi state mooolto attenti 😀

 

virus

Vai alla barra degli strumenti