phishing: una email con immagine allegata che scarica un eseguibile (exe)

Le nuove frontiere del phishing.

Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.

Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono  ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).

L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.

L’immagine è collegata tramite un link ad un file Documento.exe.

Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.

Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.

per i tecnici/smanettoni ecco gli header dell’email:

Delivered-To: macorte@gmail.com
Received: by 10.49.132.167 with SMTP id ov7csp354qeb;
Wed, 8 May 2013 21:06:28 -0700 (PDT)
X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Return-Path: <www-data@vsobr.com>
Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11])
by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27
for <macorte@gmail.com>;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com
Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000
Delivered-To: marco@acor3.it
Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000
Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65)
by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000
Received: from vsobr.com ([137.117.199.55])
by mxcmd01.ad.aruba.it with bizsmtp
id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200
Received: by vsobr.com (Postfix, from userid 33)
id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC)
To: marco@acor3.it
Subject: Nel documento allegato.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Importante <gerald_pinci@hotmail.com>
Message-Id: <20130509040628.C1A2020F5A@vsobr.com>
Date: Thu, 9 May 2013 04:06:28 +0000 (UTC)
X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

Per rispondere sul tuo sito web, inserisci l'URL della tua risposta che dovrebbe contenere un link all'URL del permalink di questo post. La tua risposta verrà quindi visualizzata (possibilmente dopo la moderazione) in questa pagina. Vuoi aggiornare o rimuovere la tua risposta? Aggiorna o elimina il tuo post e inserisci nuovamente l'URL del tuo post. (Ulteriori informazioni)