Malware con mail INPS
Proseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.
Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:
Subject: INPS: Preavviso di accertamento per la pratica 33905717
From: “Shafira Chaney” <[email protected]>
testo:
Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.
Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).
Clausola di riservatezza
Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.
Notice to recipient
This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.
—————————————
Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!
Sebbene il sorgente della mail mostri un invio da client di posta Microsoft
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331
si ha in realtà evidenza dell’utilizzo di uno script php quale mailer
X-PHP-Originating-Script: 48:mailout.php
apparentemente inoculato in un sito statunitense basato su WordPress.