Malware via mail anche certificata

mail con malware

Nella giornata odierna sono stati individuati due diversi messaggi di posta elettronica contenenti malware in allegato.

Caso 1:

il messaggio di posta attraverso cui il malware è veicolato fa riferimento all’acquisto di prodotti hardware e software. In allegato è presente il file zip sottomissione983958F.zip contenente un secondo archivio zip avente il medesimo nome, al cui interno è presente il file eseguibile sottomissione983958F.exe

mail con malware

Si rappresenta come nel mese di febbraio una mail con contenuti similari sia stata usata per veicolare l’infezione da malware della tipologia cryptolocker che ha avuto vasta diffusione colpendo moltissimi sistemi aziendali. Il file eseguibile viene riconosciuto quale malware da 18/57 anti-virus engine del servizio VirusTotal (report)

 

Caratteristiche della mail:

 

Caso 2:

Il secondo caso risulta particolarmente insidioso in quanto fa uso di posta certificata attraverso cui veicolare l’infezione, facendo semplicemente riferimento all’invio di documenti richiesti e presenti in allegato. Il messaggio sembrerebbe essere stato inviato facendo uso dei servizi pec di actalis.it.

Allegati al messaggio involucro si trovano il file:

  • daticert.xml;
  • postacert.eml, il messaggio vero e proprio;
  • “scan 2930003 del 09 04 2015.zip”, il malware

 

L’allegato “scan 2930003 del 09 04 2015.zip” contiene il file “scan 2930003 del 09 04 2015.scr” riconosciuto quale malware da 28/56 anti-virus engine del servizio VirusTotal (report)

mail certificata con virus

 

Caratteristiche della mail:

E’ interessante notare che i destinatari della mail sono indirizzi mail non facenti parti dei servizi di posta gratuiti, ma collegati a domini privati/aziendali, evidenziando l’interesse di colpire un target specifico .

/da