Mail con oggetto Invio documento n.6712182360 emesso il 15/02/2017

Questa mattina è arrivata una mail da rete @register.it con oggetto Invio documento n.6712182360 emesso il 15/02/2017

A leggerla sembra una mail normalissima mandata da un crm o qualche sistema di fatturazione:

Analizzando con più attenzione questa mail troviamo che è partita da un ip su subnet interbusiness.it:

Facendo una scansione con il fido virustotal scopriamo che il payload è riconosciuto ma da pochissimi antivirus commericali quindi molto pericoloso:

Mail con oggetto fattura proviente da virgilio.it

Nella giornata di ieri è arrivata una mail che sembrava provenire da un indirizzo che era sulla rete @virgilio.it e che si presentava in maniera semplice e con un oggetto Fattura:

mail

ovviamente la provenienza non è da virglio.it ma bensì da un indirizzo ip che ha origine in Giappone come potete vedere dal whois qui sotto:

provenienza

Per quanto riguarda invece l’allegato con la sedicente fattura, bhè la scansione su virustotal ne rivela tutto il suo carico dannoso.

virustotal

Fake mail con oggetto Denuncia n° e Fake mail con oggetto fattura telepass

Oggi sono capitate nella nostra rete due mail interessanti, contenti entrambi malware. La prima ha come oggetto Denuncia n° e si presenta così:

mail

Da un’analisi degli headers della mail scopriamo che è partita da un pc situato in India:

headers

 

Una rapida scansione fatta con virustotal ci porta a scoprire che il suo allegato è pericoloso e molto conosciuto tra le definizioni degli antivirus:

virus1

La seconda mail invece si presenta come una fattura del servizio Telepass e più precisamente così:

mail2

 

Ma non è partita dalla società per cui si spaccia come dimostrano gli headers:

headers2

Per quanto riguarda l’allegato, un normale antivirus come il buon Microsoft Security Essential riconosce subito che è un malware e lo cancella direttamente appena tentiamo di scaricarlo.

State in guardia mi raccomando 8)