phishing: un avviso di pagamento da equitalia

In questi giorni si sta diffondendo via mail un tentativo di infezione virale: si ricevono nella casella di posta elettronica false comunicazioni, molte delle quali con falso mittente “Equitalia”, in cui si invita l’utente ad aprire il modulo in allegato (esempio “nome-file.pdf”, “nome-file.doc” o “nome-file.cab”) che in realtà potrebbe contenere un pericoloso virus (Cryptolocker).

nel mio caso (fortunatamente) gmail lo intercetta e non lo scarica dalla casella remota.

Schermata del 2016-01-15 16:47:29Nel caso arrivasse anche a voi : non aprite assolutamente gli allegati della mail e cestinatela immediatamente prima che possano infettare il computer e le cartelle di rete condivise.

Per far capire la portata dell’attacco guardate quante ne ho ricevute in uno dei miei tanti honeypot 🙂

Schermata del 2016-01-15 17:03:46il testo della mail dice:

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 135 – 002341 – Roma

Art. 29 D.P.R. 07/03/1942, n. 331 e successive modifiche – Art. 29 D.P.R. 02/01/1942, n. 223, Art. 190 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.0048779052” del 12/01/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 5 atti.

SCARICA IL DOCUMENTO ALLEGATO

© Equitalia S.p.A. C.F. P.I. 067454431

e lo zip allegato contiene un eseguibile sfruttando il solito trcchetto della doppia estensione per fregare gli utenti windows che non visualizzano l’estensione per i file noti.

Schermata del 2016-01-15 17:12:17

 

android: non cliccate se vi succede questo, è uno Scareware

Premessa: post scritto di corsa (aka non badate alla punteggiatura 😉 )

Navigavo con il mio smartphone Android su una news dal portale de Il Fatto Quotidiano, più preciamente questa: Robotica, gli informatici: “Noi eccellenza senza risorse. All’estero facciamo faville” quando al completamento del caricamento della pagina mi si è presentato questo messaggio

2014-03-23 22.36.38

 

Se capitasse anche a voi non cliccate su OK.

Si tratta di una tecnica di ingegneria sociale chiamata scareware (http://it.wikipedia.org/wiki/Scareware) che ha il solo intento di spaventarvi e farvi cliccare su banner che probabilmente lui si, vi infetterà con del codice malevolo vi porterà su questa pagina del googleplay.

https://play.google.com/store/apps/details?id=com.cleanmaster.mguard

Di fatto il vostro smartphone non è infettato da un virus, ne tanto meno il codice del sito web de Il fatto Quotidiano sarebbe tecnicamente in grado di rilevarlo sul vostro dispositivo.

Essendo incappato in questa trappola ho cliccato annulla e ho visto, un banner esposto sul il fatto quotidiano mi presentava questa immagine (probabilmente veicolo del javascript alert precedente)

fake-banner

 

se ci si clicca sopra si arriva ad un sito

2014-03-23 22.39.22

la si può vedere anche usando un normale browser su pc a questo indirizzo http://mobilesecurity.com-trckr.co/warning/

se si clicca su OK (solo su smartphone) si viene redirezionati su

http://k5lme.trackvoluum.com/click

che redireziona su

http://seth.avazutracking.net/tracking/redirect/redirect.php?id=51261944&czid=YXZhenU1MTI2MTk0NDE=&usrid=NzM5OWF2Y&rgid=Xp1MTE5&kw=ha331qzhxjpx&vurl=3394_2725

che alla fine arriva su questa pagina del Google Play

Screenshot from 2014-03-25 19:30:23

https://play.google.com/store/apps/details?id=com.cleanmaster.mguard&referrer=af_tranid%3D3P77Y0X05CXVF3T3%26clickid%3D5030451837%26af_sub1%3D3065%26c%3Dquanqiu%26pid%3Davazu_int%26af_sub2%3D3394_2725

in ogni caso voi fermatevi molto prima 😉

fonti alternative:

  • [ENG] http://grahamcluley.com/2013/12/android-scareware/
  • [ENG] http://www.onlinethreatalerts.com/article/2014/3/13/your-android-has-been-infected-with-a-virus-tap-ok-to-remove-now-spam-message/

 

phishing: una email con immagine allegata che scarica un eseguibile (exe)

Le nuove frontiere del phishing.

Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.

Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono  ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).

L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.

L’immagine è collegata tramite un link ad un file Documento.exe.

Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.

Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.

per i tecnici/smanettoni ecco gli header dell’email:

Delivered-To: macorte@gmail.com
Received: by 10.49.132.167 with SMTP id ov7csp354qeb;
Wed, 8 May 2013 21:06:28 -0700 (PDT)
X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Return-Path: <www-data@vsobr.com>
Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11])
by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27
for <macorte@gmail.com>;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com
Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000
Delivered-To: marco@acor3.it
Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000
Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65)
by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000
Received: from vsobr.com ([137.117.199.55])
by mxcmd01.ad.aruba.it with bizsmtp
id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200
Received: by vsobr.com (Postfix, from userid 33)
id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC)
To: marco@acor3.it
Subject: Nel documento allegato.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Importante <gerald_pinci@hotmail.com>
Message-Id: <20130509040628.C1A2020F5A@vsobr.com>
Date: Thu, 9 May 2013 04:06:28 +0000 (UTC)
X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N