phishing: una email con immagine allegata che scarica un eseguibile (exe)

Le nuove frontiere del phishing.

Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.

Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono  ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).

L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.

L’immagine è collegata tramite un link ad un file Documento.exe.

Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.

Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.

per i tecnici/smanettoni ecco gli header dell’email:

Delivered-To: macorte@gmail.com
Received: by 10.49.132.167 with SMTP id ov7csp354qeb;
Wed, 8 May 2013 21:06:28 -0700 (PDT)
X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Return-Path: <www-data@vsobr.com>
Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11])
by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27
for <macorte@gmail.com>;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com
Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000
Delivered-To: marco@acor3.it
Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000
Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65)
by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000
Received: from vsobr.com ([137.117.199.55])
by mxcmd01.ad.aruba.it with bizsmtp
id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200
Received: by vsobr.com (Postfix, from userid 33)
id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC)
To: marco@acor3.it
Subject: Nel documento allegato.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Importante <gerald_pinci@hotmail.com>
Message-Id: <20130509040628.C1A2020F5A@vsobr.com>
Date: Thu, 9 May 2013 04:06:28 +0000 (UTC)
X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N