Report
Archived Posts from this Category
Una fattura decisamente salata…
Scritto da pieru il 14 Ago 2011 | Archiviato in: Report, Virus e Trojan
Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…
Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.
Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:
Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083
Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659
Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)
Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.
Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.
Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe
Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.
Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!
A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.08.14.00 | 2011.08.14 | – |
| AntiVir | 7.11.13.37 | 2011.08.12 | – |
| Antiy-AVL | 2.0.3.7 | 2011.08.14 | – |
| Avast | 4.8.1351.0 | 2011.08.14 | – |
| Avast5 | 5.0.677.0 | 2011.08.14 | – |
| AVG | 10.0.0.1190 | 2011.08.14 | – |
| BitDefender | 7.2 | 2011.08.14 | – |
| CAT-QuickHeal | 11.00 | 2011.08.13 | – |
| ClamAV | 0.97.0.0 | 2011.08.14 | – |
| Commtouch | 5.3.2.6 | 2011.08.14 | – |
| Comodo | 9747 | 2011.08.14 | TrojWare.Win32.Trojan.Agent.Gen |
| DrWeb | 5.0.2.03300 | 2011.08.14 | Trojan.PWS.Panda.550 |
| Emsisoft | 5.1.0.8 | 2011.08.14 | – |
| eSafe | 7.0.17.0 | 2011.08.14 | – |
| eTrust-Vet | 36.1.8499 | 2011.08.12 | – |
| F-Prot | 4.6.2.117 | 2011.08.14 | – |
| F-Secure | 9.0.16440.0 | 2011.08.14 | – |
| Fortinet | 4.2.257.0 | 2011.08.14 | – |
| GData | 22 | 2011.08.14 | – |
| Ikarus | T3.1.1.107.0 | 2011.08.14 | – |
| Jiangmin | 13.0.900 | 2011.08.14 | – |
| K7AntiVirus | 9.109.5010 | 2011.08.12 | – |
| Kaspersky | 9.0.0.837 | 2011.08.14 | HEUR:Trojan.Win32.Generic |
| McAfee | 5.400.0.1158 | 2011.08.14 | Artemis!01205E059002 |
| McAfee-GW-Edition | 2010.1D | 2011.08.14 | Artemis!01205E059002 |
| Microsoft | 1.7104 | 2011.08.14 | PWS:Win32/Zbot |
| NOD32 | 6377 | 2011.08.14 | a variant of Win32/Kryptik.RPK |
| Norman | 6.07.10 | 2011.08.14 | – |
| nProtect | 2011-08-14.01 | 2011.08.14 | – |
| Panda | 10.0.3.5 | 2011.08.14 | – |
| PCTools | 8.0.0.5 | 2011.08.14 | – |
| Prevx | 3.0 | 2011.08.14 | – |
| Rising | 23.70.04.03 | 2011.08.12 | – |
| Sophos | 4.67.0 | 2011.08.14 | Mal/Zbot-CX |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.08.13 | – |
| Symantec | 20111.2.0.82 | 2011.08.14 | Suspicious.Cloud |
| TheHacker | 6.7.0.1.276 | 2011.08.13 | – |
| TrendMicro | 9.500.0.1008 | 2011.08.14 | – |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.08.14 | – |
| VBA32 | 3.12.16.4 | 2011.08.13 | – |
| VIPRE | 10162 | 2011.08.14 | Virtool.Win32.Obfuscator.da!g (v) |
| ViRobot | 2011.8.13.4621 | 2011.08.14 | – |
| VirusBuster | 14.0.168.0 | 2011.08.14 | – |
Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.
Eccoci arrivati alle due conclusioni fondamentali:
- Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
- Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.
Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂
Alessia Bruno della ADNC Group
Scritto da ludus il 23 Dic 2009 | Archiviato in: Report
Dopo le email, a dire il vero abbastanza strane, di Mario Cucunato Scaglione Group, sta arrivando in questi giorni un nuovo spam, ambiguo come il precedente.
Sono Alessia Bruno della ADNC Group.
Sarei interessata ai prodotti consultati sul vostro indirizzo internet in maggior modo vorrei avere chiarimenti sui prezzi. Richiedo un contatto telefonico preferibilmente in orari di ufficio.
Grazie per l’attenzione.
Alessia Bruno
ADNC Group
Tel n° 199214505
Fax n° 1783029080
Questa signora mi ha scritto in un sito in cui NON vendo alcun prodotto.
Non vedete nulla di strano?
Allora vi aiuto: il numero di telefono è lo stesso del famigerato Mario Cucunato! 199214505!
Questo ADNC Group su google non dà risultati. Così come il nome della signora dà oltre un milione di risultati… un nome comune, tanti omonimi.
Ma allora che cosa c’è dietro questo 199? Forse, dal momento che l’199 è economico, guadagna sui numeri? Spammando ovunque, magari qualche migliaio di utenti chiama…
Mario Cucunato Scaglione Group
Scritto da ludus il 23 Set 2009 | Archiviato in: Report
Sono due volte che ricevo una richiesta di preventivo da una certa azienda chiamata Mario Cucunato Scaglione Group. In allegato c’è un documento da riempire per chiedere un preventivo per una stanza di albergo.
Sì, mi hanno scritto sull’email del mio sito, dove mi presento come web designer, per chiedermi una camera d’albergo.
La prima volta, il 9 settembre, ho pensato al solito allocco che aveva sbagliato a capire la tipologia del sito, ma dopo pochi giorni, oggi 23 settembre, ne ricevo un’altra, identica alla precedente.
Ecco il testo dell’email:
Salve,
la presente email per richiedere un preventivo,l’offerta comprende pernottamento e prima colazione . In allegato si troverà il format usato dalla scrivente azienda riservato alla prenotazione Hotel.
Si prega di compilare il modulo e di inviarlo via fax (presente nel documento) al nostro reparto acquisti di Verona.
Si richiede inoltre di non rispondere al seguente indirizzo di posta elettronica in quanto non si tratta di email aziendale quindi difficilmente le informazioni arriverebbero agli interessati.Ringraziandovi per l’attenzione porgo i miei più cordiali saluti.
Mario Cucunato
Scaglione Group Srl
Tel n° 199-214505
Fax n° 178-3029003
Interno n°: 36
Nell’oggetto “Richiesta Preventivo”.
Ho cominciato così a fare delle ricerche. Cercando il nome dell’azienda “ Scaglione Group” si arriva a una società che ha sede a Ischia, non a Verona.
Il numero di telefono e di fax non si trovano in rete. Ho cercato quindi quanto potesse costare una telefonata al 199 e al 178, ma sono poco costosi, dell’ordine di pochi centesimi al minuto.
Cercando il nome completo “Mario Cucunato Scaglione Group” si approda invece a un annuncio di lavoro su trovit.it dove compare ancora quell’interno 36… Da lì si arriva poi a un altro annuncio sul sito lavoro.org.
Nel modulo c’erano questi dati:
Dati intestazione fattura
Ragione sociale: Scaglione Group
Indirizzo: Via Ache runtia
CAP: 87041 Città: Verona
Codice fiscale/Partita IVA: 01779980786
Google Map non trova nessuna Via Ache runtia a Verona… Inoltre il codice di avviamento postale 87041 appartiene alla Calabria e non al Veneto…
Per ricapitolare: l’azienda ha sede in una via inesistente nella città di Verona, con CAP della provincia di Cosenza. E’ inoltre introvabile in rete e cerca un dirigente senza esperienza minima…
Piuttosto strano tutto ciò…
Quello che tuttora mi sfugge è: che genere di spam ho di fronte?
Il blog Falso Magro ne ha parlato ad aprile, ma nel messaggio il numero da chiamare era un altro: un 895 costoso.