Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
WS HOME (in pensione): i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
WS LAB: Ryzen 2700x cooled by Corsair H100i V2 - Asus Rog Strix x370-i Gaming - 32Gb GSkill TridentZ RGB 3600Mhz - Zotac GTX1060 Mini 6GB - Thermaltake Smart Pro RGB 650W - Sabrent 1TB - MP500 NvME 250Gb come cache disk - Win10 Pro x64 - Phanteks Evolv ITX Glass --- Virtualization with Hyper-V
My HPE MicroServer: Configurazione e Setup
Forse è meglio censurare gli indirizzi.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Sono entrambi fake
Il mittente era una stringa alfanumerica, il destinatario invece non sono io e quell indirizzo non mi risulta attivo
WS HOME (in pensione): i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
WS LAB: Ryzen 2700x cooled by Corsair H100i V2 - Asus Rog Strix x370-i Gaming - 32Gb GSkill TridentZ RGB 3600Mhz - Zotac GTX1060 Mini 6GB - Thermaltake Smart Pro RGB 650W - Sabrent 1TB - MP500 NvME 250Gb come cache disk - Win10 Pro x64 - Phanteks Evolv ITX Glass --- Virtualization with Hyper-V
My HPE MicroServer: Configurazione e Setup
Bravo!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Nuova email dal Telepass.
La mail è fatta estremamente bene, è scritta in italiano corretto e ricalca molto bene quelle ufficiali (a parte i loghi, è in formato testo) e si presenta come un invio elettronico di una fattura. Anche il mittente con cui si presenta (tra le varie combinazioni possibili) è "noreply@services.telepass.it" ed è un mittente "valido" ed era presente nella nostra whitelist.
L'allegato è il classico zip con dentro un EXE con "PDF" nel nome: Normalmente (ovviamente) blocchiamo tutti gli allegati di questo tipo ma la combinazione ha voluto che proprio in quel momento stessimo aggiornando il MailEssential, che quindi non l'ha filtrato e lasciato passare. L'impiegata era al telefono ha aperto distrattamente la mail e cliccato su "Esegui" prima di allineare i pensieri.
L'allegato una volta aperto chiede di aprire delle porte nel firewall di Windows (quindi avercelo abilitato e non autorizzare gli utenti a modificare le policy è come al solito cosa buona e giusta) e crea una directory all'interno della C:\Users\nomeutente\AppData\roaming\ che contiene un altro file .exe.
Un modo per distinguere con certezza la mail fake da quelle ufficiali è verificarne l'header: Questa sembra provenire da server russi. Purtroppo non ho salvato lo screenshot della mail e ho già mandato la cancellazione ricorsiva dal db di Exchange. Cercando in rete l'hash md5 del file allegato alla mail ho trovato pochissimi riscontri, l'unico che sono riuscito a controllare è stato inserito proprio questa mattina anche se con un nome diverso e anche in quel caso era proveniente da server russi.
Attualmente non viene riconosciuto ne da Kaspersky ne da Vipre ma è sicuramente un malware.
Come non detto, eccoli:
E qui gli header della mail:
codice:Received: from [5.56.0.93] (5.56.0.93) by posta.miodominio.xx (192.168.10.32) with Microsoft SMTP Server id 8.3.389.2; Tue, 28 Apr 2015 10:38:37 +0200 Received: from [85.50.7.70] (helo=wdtvtrmrxxi.yvnsiwdqf.ru) by with esmtpa (Exim 4.69) (envelope-from ) id 1MMZ25-0056xn-HW for info@miodominio.xx; Tue, 28 Apr 2015 09:38:36 +0100 Received: from [223.73.17.30] (helo=ngdehdho.dtykb.biz) by with esmtpa (Exim 4.69) (envelope-from ) id 1MMUMF-4342hd-98 for info@miodominio.xx; Tue, 28 Apr 2015 09:38:36 +0100 Date: Tue, 28 Apr 2015 09:38:36 +0100 From: TelepassTo: Subject: Telepass.it informa - recapito elettronico delle fatture (rif. 559804866) MIME-Version: 1.0 X-Priority: 3 Message-ID: <222d13993a4c09.eb7fcd68.09bf3da4@wxxvnnin.ouqqaynm.net> Content-Type: multipart/mixed; boundary="----=a__vojm_34_39_92" Return-Path: bombingsl61@telepass.it X-MS-Exchange-Organization-SCL: 9 X-KSE-AntiSpam-Interceptor-Info: scan successful X-KSE-AntiSpam-Version: 5.5.3, Database issued on: 04/28/2015 08:06:10 X-KSE-AntiSpam-Status: KAS_STATUS_SPAM X-KSE-AntiSpam-Method: headers plus X-KSE-AntiSpam-Rate: 100 X-KSE-AntiSpam-Info: Lua profiles 76882 [Apr 28 2015] X-KSE-AntiSpam-Info: LuaCore: 193 2015-04-21_16-28-37 b4791162beb07da1e1edc4d566597ef357b8a7d7 X-KSE-AntiSpam-Info: Version: 5.5.3 X-KSE-AntiSpam-Info: Envelope from: bombingsl61@telepass.it X-KSE-AntiSpam-Info: {Cutwail pattern} X-KSE-AntiSpam-Info: {Headers: M2692a} X-KSE-AntiSpam-Info: Rate: 100 X-KSE-AntiSpam-Info: Status: spam X-KSE-AntiSpam-Info: Method: headers plus X-KSE-AntiSpam-Info: Moebius-Timestamps: 3510356, 3510483, 0 X-KSE-Antiphishing-Info: Clean X-KSE-Antiphishing-Method: None X-KSE-Antiphishing-Bases: 04/28/2015 08:16:00 X-KSE-Antivirus-Interceptor-Info: scan successful X-KSE-Antivirus-Info: Clean
Ultima modifica di frakka : 28-04-2015 a 14:42
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Il logo blu è bellissimo poi!
Marco
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)