Mail con oggetto: La tua carta d’imbarco

Oggi è arrivata una mail, che volevo fosse vera, perchè narrava di carte d’imbarco su qualche aereo dell’Alitalia e visto lo stress che sto passando in questi giorni, magari fosse stata vera, purtroppo era il tentativo di infettare qualche pc…
La mail si presenta in maniera molto professionale:

Analizzando gli headers della mail si vede che il server di partenza è situato in una subnet che appartiene ad una società tailandese:

 

Una volta che facciamo analizzare la famosa carta d’imbarco scopriamo che è farcita di malware:

Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

Mail con oggetto Le ultime fatture Dhl: 1035717

Questa mattina abbiamo ricevuto una mail che sembra veramente autentica da parte di DHL che diceva che ci stavano mandando le fatture del mese in corso e le potevamo scaricare dall’allegato o loggandosi sul sito vero di DHL:

mail

Come potete vedere dallo screenshot qui sopra sembra veramente autentica, quindi mi sono messo ad indagare sugli headers del messaggio, che indicano il percorso fatto per arrivare alla nostra casella di posta:

headers

Qui è sorto il primo sospetto, vedendo che partiva da un server in Grecia, mentre il mittente sembrava una sucursale tedesca di DHL. Ho scaricato l’allegato e analizzato su virustotal che ha dato questo riscontro:

virustotal.png

Come potete vedere un riscontro molto basso, sinonimo di alta pericolosità per gli utenti.

Mail con oggetto Contratto manutenzione 2016-15

Oggi abbiamo ricevuto una mail con oggetto Contratto manutenzione 2016-15. Si presenta in maniera molto semplice e formale come potete vedere dall’immagine qui sotto:

mail

Facendo un’analisi degli headers della mail scopriamo che il server di partenza sta in Cina:

headers

Facendo una scansione su virustotal scopriamo che il carico malevolo che porta l’allegato è riconosciuto dalla maggior parte degli antivirus sulla scena:

virustotal

Mail con oggetto Trasmissione fatture via mail

Oggi abbiamo ricevuto una mail con oggetto Trasmissione fatture via mail che sembra un pò scombinata nel leggerla come potete notare dall’immagine qui sotto:

mail

Analizzando gli headers di partenza scopriamo che il tutto è partito da un server situato in Vietnam:

headers

L’analisi su virustotal evidenzia un carico abbastanza dannoso e riconosciuto dagli antivirus commerciali.

virustotal

Mail con oggetto pagamento f24

Oggi è arrivata una mail che ha destato il mio interesse perchè sembrava provenire da una mail di pec.it, il provider di posta certificata qui in Italia.

La mail si presenta in modo molto professionale e ben scritta:

mail

Analizzando gli headers del messaggio sorgente troviamo che il server di partenza è situato in Italia e più precisamente qui:

headers

Analizzando l’allegato troviamo un riscontro abbastanza alto nella scansione su virustotal che da questo esito:

virustotal

Mail con oggetto Destinatario assente

Oggi abbiamo ricevuto una mail che sembrava provenire dal corriere SDA che annunciava la mancata consegna di un pacco con oggetto Destinatario assente.

La mail anche graficamente sembrava molto curata con tutti i dettagli per farsi passare come veritiera:

mail

Facendo un analisi degli headers del messaggio sorgente troviamo che il tutto è partito da un server situato in Indonesia come si può vedere dall’immagine qui sotto e dalle informazioni whois che seguono:

headers

Facendo una scansione su virustotal troviamo un rilevamento molto alto per quanto riguarda i maggiori antivirus sul mercato:

virustotal

Mail con oggetto stato di consistenza lavori eseguiti

Oggi abbiamo ricevuto una mail con oggetto stato di consistenza lavori eseguiti e che si presenta in maniera molto stringata:

mail

Analizzando gli headers si vede che è partito da un server italiano con host sotto rete del corriere Bartolini:

headers

Facendo un’analisi su virustotal dell’allegato si vede che è molto riconosciuto da quasi tutti gli antivirus più diffusi:

virustotal

Mail con oggetto RE: Fattura Differita

Oggi abbiamo ricevuto una mail con oggetto Re: Fattura Differita che sembra arrivare dalla rete di yahoo.it e che è scritta in maniera corretta come si può vedere dallo screen qui sotto:

mailAnalizzando gli headers del sorgente del messaggio possiamo scoprire che il server di partenza di questa mail è situato in America e più precisamente:

headers

Facendo un analisi dell’allegato presente nella mail si può scoprire che è riconosciuto da pochi antivirus quindi potenzialmente molto dannoso.

virustotal

Mail con oggetto Comunicazione Contratto 76WE8NXPFC

Oggi abbiamo ricevuto un paio di mail con oggetto Comunicazione Contratto ed un numero randomico come quello che potete vedere in oggetto di questo post.

Si presenta in maniera molto semplice e scritta in un italiano corretto:

mail

Andando ad analizzare gli headers di questa mail troviamo che l’indirizzo di partenza è situato in Cina:

headers

La scansione su virustotal da un rilievo molto basso e quindi una pericolosità elevata rispetto agli antivirus più diffusi:

virustotal