Mail con oggetto alla segreteria

Oggi dopo un bel pò di tempo dove tutto sembrava tranquillo abbiamo ricevuto nelle nostre mailbox una serie di mail che portavano lo stesso allegato. Per l’analisi prenderò in considerazione solo la prima, le altre variano solo come mittenti ma non come testo e come contenuto.

La mail in oggetto si presenta così:

mail

Analizzando i vari headers della mail si vede che la spedizione è stata effettuata da un server polacco e questo è una cosa che si ripercuote su tutte e 3 le mail ricevute in questo momento:

headers

headers1

Facendo un analisi dell’allegato con virustotal scopriamo tutto il suo carico di malware:

virustotal

By |2015-12-15T11:35:26+00:00Dicembre 15th, 2015|Tecnologia|0 Comments

Mail con oggetto Invio nota prot. n. 09712 del 21/09/2015

Oggi abbiamo ricevuto in duplice copia una mail con oggetto Invio nota prot. n. 09712 del 21/09/2015 che sembrava provenire da un indirizzo su live.com.
E’ molto semplice come potete vedere da questo allegato:

mail

Facendo un’analisi degli headers di questa email si evince che il server di partenza è situato in Turchia e più precisamente in questa network:

Per quanto riguarda l’allegato presenta un riconoscimento molto basso rispetto ai più commerciali degli antivirus, rendendolo così molto pericoloso.

virustotal

By |2015-09-21T13:26:36+00:00Settembre 21st, 2015|Tecnologia|0 Comments

Mail con oggetto Stampa

Oggi è arrivata nelle nostre caselle di posta una mail molto semplice che a prima vista sembra arrivare da una mail presente su hotmail.it con oggetto Stampa e si presenta così:

stampa

Facendo un’analisi degli header della mail si vede che la network di partenza è situata in Polonia e più precisamente facente parte di questo gruppo di indirizzi:

Facendo una scansione con virustotal notiamo che l’allegato presente ha un alto riconoscimento presso gli antivirus commerciali più blasonati, mentre rimane sconosciuto ai più:

virustotal

By |2015-09-15T08:43:53+00:00Settembre 15th, 2015|Tecnologia|0 Comments

Mail con oggetto MMS: 00393714117261

Oggi è arrivata in duplice copia quindi potenzialmente una campagna molto ampia di infezione, una mail che sembrava provenire dalla rete di vodafone.it e che aveva come soggetto MMS: e un numero di telefono randomico. Si presenta in maniera molto scarna:

mail

Facendo un’analisi degli header l’indirizzo di partenza risulta appartenere alla seguente network:

L’allegato contenuto è molto conosciuto a tutti gli antivirus free e commerciali come rivela la scansione su virustotal:

virustotal

By |2015-09-01T15:51:31+00:00Settembre 1st, 2015|Tecnologia|0 Comments

Mail con oggetto fattura 2015 sep

Oggi è arrivata una mail che sembrava provenire da una nota azienda di macchine, Volkswagen e che parlava di una fattura di noleggio nell’allegato.

La mail usata per questa infezione risiede, come spesso accade, su libero.it e si presentava così:

mail

Facendo qualche ricerca più approfondita sugli header della mail scopriamo che l’indirizzo di partenza è situato in Corea e più precisamente appartenente a questa subnet:

Facendo una scansione su virustotal abbiamo un riscontro molto basso, segnale di una pericolosità abbastanza alta visto che gli antivirus non sempre riconoscono il pattern virale:

virustotal

By |2015-08-25T09:54:08+00:00Agosto 25th, 2015|Tecnologia|0 Comments