Mail con oggetto Emailed Invoiced

Oggi è arrivata una mail con oggetto Emailed Invoice e un numero randomico come potete vedere qui sotto:

Analizzando gli headers il server di partenza è situato in Vietnam come da immagine qui sotto:

Una scansione su VirusTotal dimostra il carico di malware contenuto nell'allegato:

By |2017-12-12T11:24:22+00:00Dic 12th, 2017|Tecnologia|0 Comments

Mail con oggetto Invio documento n.6712182360 emesso il 15/02/2017

Questa mattina è arrivata una mail da rete @register.it con oggetto Invio documento n.6712182360 emesso il 15/02/2017

A leggerla sembra una mail normalissima mandata da un crm o qualche sistema di fatturazione:

Analizzando con più attenzione questa mail troviamo che è partita da un ip su subnet interbusiness.it:

Facendo una scansione con il fido virustotal scopriamo che il payload è riconosciuto ma da pochissimi antivirus commericali quindi molto pericoloso:

By |2017-02-15T13:26:57+00:00Feb 15th, 2017|Tecnologia|0 Comments

Mail con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC

Oggi ho ricevuto nella casella mail un messaggio con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC che aveva tutta l’aria di essere una bolletta inviata da enelenergia. Si presenta così:

Andando ad analizzare gli headers il server di partenza è situato in Olanda e per quanto riguarda l’allegato ad una scansione di virustotal risulta positivo alla rilevazione in maniera abbastanza alta:

 

By |2017-02-06T17:30:34+00:00Feb 6th, 2017|Tecnologia|0 Comments

Mail con oggetto: La tua carta d’imbarco

Oggi è arrivata una mail, che volevo fosse vera, perchè narrava di carte d’imbarco su qualche aereo dell’Alitalia e visto lo stress che sto passando in questi giorni, magari fosse stata vera, purtroppo era il tentativo di infettare qualche pc…
La mail si presenta in maniera molto professionale:

Analizzando gli headers della mail si vede che il server di partenza è situato in una subnet che appartiene ad una società tailandese:

 

Una volta che facciamo analizzare la famosa carta d’imbarco scopriamo che è farcita di malware:

By |2016-12-14T14:34:50+00:00Dic 14th, 2016|Tecnologia|0 Comments

Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

By |2016-10-20T15:11:29+00:00Ott 20th, 2016|Tecnologia|0 Comments