Nuova email dal Telepass.
La mail è fatta estremamente bene, è scritta in italiano corretto e ricalca molto bene quelle ufficiali (a parte i loghi, è in formato testo) e si presenta come un invio elettronico di una fattura. Anche il mittente con cui si presenta (tra le varie combinazioni possibili) è "noreply@services.telepass.it" ed è un mittente "valido" ed era presente nella nostra whitelist.
L'allegato è il classico zip con dentro un EXE con "PDF" nel nome: Normalmente (ovviamente) blocchiamo tutti gli allegati di questo tipo ma la combinazione ha voluto che proprio in quel momento stessimo aggiornando il MailEssential, che quindi non l'ha filtrato e lasciato passare. L'impiegata era al telefono ha aperto distrattamente la mail e cliccato su "Esegui" prima di allineare i pensieri.
L'allegato una volta aperto chiede di aprire delle porte nel firewall di Windows (quindi avercelo abilitato e non autorizzare gli utenti a modificare le policy è come al solito cosa buona e giusta) e crea una directory all'interno della C:\Users\nomeutente\AppData\roaming\ che contiene un altro file .exe.
Un modo per distinguere con certezza la mail fake da quelle ufficiali è verificarne l'header: Questa sembra provenire da server russi. Purtroppo non ho salvato lo screenshot della mail e ho già mandato la cancellazione ricorsiva dal db di Exchange. Cercando in rete l'hash md5 del file allegato alla mail ho trovato pochissimi riscontri, l'unico che sono riuscito a controllare è stato inserito proprio questa mattina anche se con un nome diverso e anche in quel caso era proveniente da server russi.
Attualmente non viene riconosciuto ne da Kaspersky ne da Vipre ma è sicuramente un malware.
Come non detto, eccoli:
E qui gli header della mail:
codice:
Received: from [5.56.0.93] (5.56.0.93) by posta.miodominio.xx (192.168.10.32)
with Microsoft SMTP Server id 8.3.389.2; Tue, 28 Apr 2015 10:38:37 +0200
Received: from [85.50.7.70] (helo=wdtvtrmrxxi.yvnsiwdqf.ru) by with esmtpa
(Exim 4.69) (envelope-from ) id 1MMZ25-0056xn-HW for info@miodominio.xx;
Tue, 28 Apr 2015 09:38:36 +0100
Received: from [223.73.17.30] (helo=ngdehdho.dtykb.biz) by with esmtpa (Exim
4.69) (envelope-from ) id 1MMUMF-4342hd-98 for info@miodominio.xx; Tue, 28
Apr 2015 09:38:36 +0100
Date: Tue, 28 Apr 2015 09:38:36 +0100
From: Telepass
To:
Subject: Telepass.it informa - recapito elettronico delle fatture (rif. 559804866)
MIME-Version: 1.0
X-Priority: 3
Message-ID: <222d13993a4c09.eb7fcd68.09bf3da4@wxxvnnin.ouqqaynm.net>
Content-Type: multipart/mixed; boundary="----=a__vojm_34_39_92"
Return-Path: bombingsl61@telepass.it
X-MS-Exchange-Organization-SCL: 9
X-KSE-AntiSpam-Interceptor-Info: scan successful
X-KSE-AntiSpam-Version: 5.5.3, Database issued on: 04/28/2015 08:06:10
X-KSE-AntiSpam-Status: KAS_STATUS_SPAM
X-KSE-AntiSpam-Method: headers plus
X-KSE-AntiSpam-Rate: 100
X-KSE-AntiSpam-Info: Lua profiles 76882 [Apr 28 2015]
X-KSE-AntiSpam-Info: LuaCore: 193 2015-04-21_16-28-37
b4791162beb07da1e1edc4d566597ef357b8a7d7
X-KSE-AntiSpam-Info: Version: 5.5.3
X-KSE-AntiSpam-Info: Envelope from: bombingsl61@telepass.it
X-KSE-AntiSpam-Info: {Cutwail pattern}
X-KSE-AntiSpam-Info: {Headers: M2692a}
X-KSE-AntiSpam-Info: Rate: 100
X-KSE-AntiSpam-Info: Status: spam
X-KSE-AntiSpam-Info: Method: headers plus
X-KSE-AntiSpam-Info: Moebius-Timestamps: 3510356, 3510483, 0
X-KSE-Antiphishing-Info: Clean
X-KSE-Antiphishing-Method: None
X-KSE-Antiphishing-Bases: 04/28/2015 08:16:00
X-KSE-Antivirus-Interceptor-Info: scan successful
X-KSE-Antivirus-Info: Clean
Rispondi quotando
