TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2017-04

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

31/01/2018 16:16:26 - Continua sotto le spoglie di un F24 l'ennesima truffa che si diffonde via mail

      
 
 
 

Prosegue nel mese di gennaio 2018, l'analisi da parte del C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Soft di una serie di mail fraudolente, che diffondono pericolose minacce.
 

INDICE

In questa occasione, l'interesse dei ricercatori si è rivolto verso l'ondata di mail con oggetto "f24 acconti" che sfrutta il servizio di  Mailchimp per la sua distribuzione.
Proprio il connubio F24 e Mailchimp sembra aver ingannato molti consumatori i quali, se pienamente o in parte coinvolti dal tranello di "ingegneria sociale", hanno poi dovuto fare i conti con una possibile infezione del proprio sistema operativo. E' evidente che gli ideatori di tale frode abbiano volutamente puntato gli utenti italiani, unici conoscitori del modello fiscale F24. 


La Mail analizzata dal C.R.A.M.

Dall'immagine della mail, visibile a lato, possiamo notare che la stessa è composta da poche informazioni ed è ipotizzabile che l'abuso di spazi sia stato opportunamente applicato per cercare di nascondere l'utilizzo del servizio Mailchimp.

Questo stratagemma, impedisce agli utenti di "notare" la disiscrizione al servizio Mailchimp, infatti per chi visualizza il messaggio nel proprio browser o anche nel suo client di posta, potrebbe venir "tradito" dall'inedita dimensione del messaggio non verificando la sua interezza.

Ci sembra alquanto improbabile che una comunicazione del genere possa essere mandata con un servizio come Mailchimp, di fronte ad una situazione simile è sempre bene non farsi prendere dalla fretta, anche se si è operatori del settore.
Ricordiamo come sempre che nel web vengono continuamente eseguiti invii massivi di mail fraudolente, i cui metodi di "ingegneria sociale" sono sviluppati da persone/cyber-criminali che arrivano a studiare usi e costumi delle popolazioni a cui le mail vengono di volta in volta spedite. Questo rende sempre più probabile trovarsi di fronte a messaggi che non presentano inesattezze o errori grossolani, facendo si che anche un occhio esperto possa essere ingannato.

 
Torna ad inizio pagina

Non cliccare

Nel "misero" corpo della mail viene indicato che dovrebbe essere presente un allegato riguardante una dichiarazione dei redditi.
L'ambiguità di questa frase desta dei sospetti, infatti non troviamo nessun documento o file.
E' possibile notare che le scritte in rosso, pure sottolineate, fanno riferimento alla presenza di un link:

 

"https://le-spectacle[.]us6[.]list-manage[.]com/track/click?u=
841c1d91c2fa081a62b5aa410&id=7eeaa79bce&e=3900e2e042".

clicca per ingrandire


Il nostro tentativo di aprire il link ci ha portati a scaricare un file compresso:
 
nome: f24_acconti_2018_1_31_0f3cb8.zip
Md5: 7010E41789C8650315E7E2921C917B98
file size
(su disco):
8.192 byte
All'interno dell'archivio compresso è presente un solo file con lo stesso nome ma con estensione diversa, ovvero JS :
 
nome: f24_acconti_2018_1_31_0f3cb8.js
Md5: A660F6710B0D3A8D180466DF5E769C5A
file size
(su disco):
24.576 byte

Arrivati a questo punto, non abbiamo ancora avviato alcun malware nel sistema, vi invitiamo comunque a mantenere una debita distanza da tale situazione.

Dalle prove effettuate risulta che l'esecuzione del file JS scatena una serie di istruzioni che scaricano dal web un file eseguibile ed impostano alcuni parametri per cui questo file (il malware) possa avviarsi automaticamente. Di seguito le caratteristiche del file EXE scaricato al momento dell'analisi.
nome: finallyeveryone.exe
Md5: EDE7B4BBC9EF5F3CADE9EAB65EBF6345
file size
(su disco):
270.336 byte
Questa minaccia appartiene alla famiglia dei Banker ed è quindi progettata per esfiltrare le credenziali di accesso utilizzate nelle pagine web sfogliate durante l'operatività del malware stesso.


Torna ad inizio pagina


Come cercare di riconoscere una falsa mail

L'esperienza ed il buon senso sono le prime armi per non rimanere vittima di questo tipo di truffe.
E' fondamentale un'attenta lettura della mail, in tutti i suoi elementi. Diffidare da subito di allegati in formato ZIP e, se possibile, NON abilitare l'esecuzione automatica delle macro. E' fortemente sconsigliato impostare l'esecuzione automatica delle macro poichè la semplice apertura di file Word ed Excel vedrà l'immediata esecuzione delle macro senza alcun alert preventivo.
Nel caso in cui si fosse stati infettati da un Banker,  il consiglio da parte del C.R.A.M. di TG Soft è quello di prendere opportuni accorgimenti di sicurezza anche dopo la bonifica del/dei sistemi coinvolti come il cambio delle password più comunemente utilizzate nel web.
Nel caso in cui  la postazione coinvolta fosse stata utilizzata per operazioni di home-banking è consigliato anche un accertamento con il proprio istituto di credito.  


Come inviare e-mail sospette per l'analisi come possibili virus/malware/ransomware e/o tentativi di Phishing

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
Torna ad inizio pagina
 


Integra la protezione del tuo PC/SERVER con Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Per i licenziatari in assistenza della versione PRO di Vir.IT eXplorer...

Per i possessori di Vir.IT eXplorer PRO è anche possibile contattare gratuitamente il supporto tecnico telefonico di TG Soft le cui modalità sono consultabili alla pagina del supporto CLIENTI.
 


C.R.A.M.

Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina





Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283