Massiva campagna di SPAM veicolata tramite email di amici

Dal 14 Giugno 2021 è in corso una massiva campagna di spam veicolata tramite e-mail che sfrutta, per attrarre l’attenzione dei destinatari, il nome e cognome come mittente di un precedente contatto con cui si son scambiati messaggi di posta elettronica.

Il destinatario vedendo in firma e come mittente il nominativo di un amico è sicuramente portato a prestare maggiore attenzione e magari a cliccare sul link citato spinto dalla curiosità.

La campagna di SPAM si identifica grazie a queste caratteristiche:

  • La comunicazione arriva da un precedente contatto;
  • La comunicazione è scritta in Italiano;
  • Le email contengono link Bit.ly o FeedProxy che portano solitamente a falsi siti;
  • Il link contenuto nella email reindirizza l’utente usualmente a falsi siti web di investimenti in criptovalute (bitcoin);
  • Le email vengono inviate da reali account @outlook.com o @hotmail.com;
  • L’oggetto della email usualmente contiene un contatto @libero.it o comunque non è un oggetto breve;
  • Il testo della email contiene emoji con chiaro riferimento al denaro (es. 💵,  💸 , 💰, 💶, 🤑).

Se l’utente decide di cliccare sul link della email visualizzerà uno sito scam di criptovalute con l’intento di vendergli bitcoin o altre criptovalute facendoli sognare di diventare il prossimo milionario.

La Word Cloud seguente mostra gli oggetti più sfruttati per diffondere questa campagna di spam, utili eventualmente per attivare regole di filtraggio ed eliminare automaticamente tali messaggi.

Nel 2014 Libero.it è stata probabilmente soggetta ad un data breach che ha acconsentito gli attaccanti di ottenere la rubrica di tutti gli account del servizio di posta elettronica gratuita, questo breach permette quinti tutt’ora di rendere le comunicazione di SPAM più attendibili falsificando il mittente sfruttando appunto la rubrica in precedenza ottenuta.

Questa nuova campagna ha certamente diversi similitudini con quella riportata a inizio Giugno dal Cert-AGID in cui notificava una massiva campagna scam bitcoin tramite URL bit.ly.

Al presente articolo si allegano i seguenti IoC:

  • IP Source (IP che ha provveduto ad inviare l’email, first-relay o x-originating-ip);
  • Email mittente (Esclusivamente se la regola SPF viene rispettata);
  • Oggetti delle email;
  • Oltre 3mila URL presenti nel body delle mail e sfruttati per la diffusione della campagna.

Gli IoC disponibili qui sono compressi e protetti da password infected.

L’estrazione degli indicatori di compromissione è stata effettuata mediante il servizio di IoC Sharing che D3Lab offre ai suoi clienti con l’intento di contrastare il phishing, malspam e malware.