Bowlingbpsl
2019-07-23 16:38:07 UTC
Volevo farvi partecipi di un virus inviato via PEC. Mandato di domenica
(piu' o meno il momento in cui l'AdE ti manda le sue PEC).
Vedo questo strano indirizzo del mittente tal ***@pec.programonline it
(che pero' non e' che il PVC c'entri granche', col fisco...)
L'allegato e' STRANO. Bisogna andare a trovarselo in mezzo all'email.
Questo file chiamato comunicazione-44740870439.zip contiene un
comunicazione clientela.pdf (con flag "hidden")
comunicazione clientela.lnk
Il PDF l'ho fatto assaggiare a virustotal. Nessun problema, dicono.
Ma non si apre... e non sono del tutto scemo da cliccare sul resto.
Cosi' ho cercato...
https://www.cybersecurity360.it/nuove-minacce/malware-sload-nuova-campagna-di-malspam-verso-le-pec-dei-professionisti-i-consigli-per-difendersi/
E' QUASI uguale al "mio". Io ho un .lnk anziche' .vbs. Ma sospetto sia
lo stesso, piu' o meno mascherato (se qualcuno confermasse...)
In pratica, il pdf e' volutamente illeggibile. Cosi', l'impiegato di
turno va a cliccare sull'altro file. Che provvede a scaricare il
virus.
BTW: poche segnalazioni da virustotal
Header:
Return-Path: <***@pec.programonline it>
Original-Recipient: rfc822;
(omissis)
Received: from smtps.pec.aruba.it (95.110.223.24) by mx.cert.legalmail.it
(9.0.034.01)
id 5C893F83039CA11D for (omissis); Sun, 21 Jul 2019 21:53:20 +0200
Received: from [127.0.0.1]
(host196-85-static.11-79-b.business.telecomitalia.it [79.11.85.196])
(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client
certificate requested) by smtps.pec.aruba.it (Postfix) with ESMTPSA id
45sFlz5qvfz2NNNqG for <>; Sun,
21 Jul 2019 21:53:19 +0200 (CEST)
Subject: POSTA CERTIFICATA: Avviso di addebito n. 44740870439 - Gestione
Gestione Aziende con lavoratori dipendenti
X-Riferimento-Message-ID: <***@pec.programonline it>
Date: Sun, 21 Jul 2019 21:53:20 +0200
Message-ID: <***@pec.aruba.it>
Reply-To: ***@pec.programonline it
...l'ip 79.11.85.196 sta in Campania? A chi posso segnalarlo?
Colto da ispirazione, dato .zip a virustotal (e non solo il PDF)
Queste sono le "sole" segnalazioni. Comodo se la sta prendendo... comoda.
DrWeb Trojan.Siggen8.37361
GData Archive.Trojan-Downloader.Paliz.A
Kaspersky Trojan.Multi.GenAutorunLnkFile.a
Microsoft PUA:Win32/Presenoker
Qihoo-360 Susp.lnk.script
Sophos AV Mal/LnkDrop-A
ZoneAlarm by Check Point Trojan.Multi.GenAutorunLnkFile.a
Qui sotto il testo. Bella roba. Ho notato l'uso "antico" delle accentate
(con l'apostrofo. Roba dei tempi del C64, Vic 20 et similia. Il candidato
alla futura vivisezione ha una certa eta', per caso?).
************************************************************************
Spett.
Con la presente si notifica di aver proceduto al controllo della po=
sizione contributiva sopra riportata relativamente a: Emissione da
03/= 2019.
L'avviso di addebito n. 44740870439 che costituisce titolo e=
secutivo ai sensi dell'art. 30, comma 1, del DL n. 78/2010 convertito
= con modificazioni in Legge n. 122/2010, è allegato alla present= e e
riguarda i contributi accertati e dovuti a titolo di Gestione Azie=
nde con lavoratori dipendenti per l'importo totale, comprensivo delle
= spese di notifica e degli oneri di riscossione, di: 3.928,00. euro
=
{Il dettaglio e le motivazioni sono riportate nella sezione
"DETTAGLIO DEGLI ADDEBITI E DEGLI IMPORTI DOVUTI" dell'avviso di
addebito sopra identificato.}
Questo e' un messaggio di posta elettronica generato automaticament= e
dal sistema. La preghiamo di non rispondere/inviare email all'indiri=
zzo mittente, perche' e' una casella applicativa, pertanto qualsiasi
m= essaggio non sara' letto.
Clausola di riservatezza
Le informazioni contenute in questo messaggio di posta elettronica =
sono riservate e confidenziali e ne è vietata la diffusione In =
qualunque modo eseguita. Qualora Lei non fosse la persona a cui il
pre= sente messaggio è destinato, La invitiamo gentilmente ad elimin=
arlo dopo averne dato tempestiva comunicazione al mittente e a non
uti= lizzare In alcun caso il suo contenuto. Qualsiasi utilizzo non
autoriz= zato di questo messaggio e dei suoi eventuali allegati espone
il respo= nsabile alle relative conseguenze civili e penali.
Notice to recipient
This e-mail is strictly confidential And meant For only the intende= d
recipient of the transmission. If you received this e-mail by mistak=
e, Any review, Use, dissemination, distribution, Or copying of this
e-= mail Is strictly prohibited. Please notify us immediately of the
Error= by Return e-mail And please Delete this message From your
system. Tha= nk you In advance For your cooperation.
(piu' o meno il momento in cui l'AdE ti manda le sue PEC).
Vedo questo strano indirizzo del mittente tal ***@pec.programonline it
(che pero' non e' che il PVC c'entri granche', col fisco...)
L'allegato e' STRANO. Bisogna andare a trovarselo in mezzo all'email.
Questo file chiamato comunicazione-44740870439.zip contiene un
comunicazione clientela.pdf (con flag "hidden")
comunicazione clientela.lnk
Il PDF l'ho fatto assaggiare a virustotal. Nessun problema, dicono.
Ma non si apre... e non sono del tutto scemo da cliccare sul resto.
Cosi' ho cercato...
https://www.cybersecurity360.it/nuove-minacce/malware-sload-nuova-campagna-di-malspam-verso-le-pec-dei-professionisti-i-consigli-per-difendersi/
E' QUASI uguale al "mio". Io ho un .lnk anziche' .vbs. Ma sospetto sia
lo stesso, piu' o meno mascherato (se qualcuno confermasse...)
In pratica, il pdf e' volutamente illeggibile. Cosi', l'impiegato di
turno va a cliccare sull'altro file. Che provvede a scaricare il
virus.
BTW: poche segnalazioni da virustotal
Header:
Return-Path: <***@pec.programonline it>
Original-Recipient: rfc822;
(omissis)
Received: from smtps.pec.aruba.it (95.110.223.24) by mx.cert.legalmail.it
(9.0.034.01)
id 5C893F83039CA11D for (omissis); Sun, 21 Jul 2019 21:53:20 +0200
Received: from [127.0.0.1]
(host196-85-static.11-79-b.business.telecomitalia.it [79.11.85.196])
(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client
certificate requested) by smtps.pec.aruba.it (Postfix) with ESMTPSA id
45sFlz5qvfz2NNNqG for <>; Sun,
21 Jul 2019 21:53:19 +0200 (CEST)
Subject: POSTA CERTIFICATA: Avviso di addebito n. 44740870439 - Gestione
Gestione Aziende con lavoratori dipendenti
X-Riferimento-Message-ID: <***@pec.programonline it>
Date: Sun, 21 Jul 2019 21:53:20 +0200
Message-ID: <***@pec.aruba.it>
Reply-To: ***@pec.programonline it
...l'ip 79.11.85.196 sta in Campania? A chi posso segnalarlo?
Colto da ispirazione, dato .zip a virustotal (e non solo il PDF)
Queste sono le "sole" segnalazioni. Comodo se la sta prendendo... comoda.
DrWeb Trojan.Siggen8.37361
GData Archive.Trojan-Downloader.Paliz.A
Kaspersky Trojan.Multi.GenAutorunLnkFile.a
Microsoft PUA:Win32/Presenoker
Qihoo-360 Susp.lnk.script
Sophos AV Mal/LnkDrop-A
ZoneAlarm by Check Point Trojan.Multi.GenAutorunLnkFile.a
Qui sotto il testo. Bella roba. Ho notato l'uso "antico" delle accentate
(con l'apostrofo. Roba dei tempi del C64, Vic 20 et similia. Il candidato
alla futura vivisezione ha una certa eta', per caso?).
************************************************************************
Spett.
Con la presente si notifica di aver proceduto al controllo della po=
sizione contributiva sopra riportata relativamente a: Emissione da
03/= 2019.
L'avviso di addebito n. 44740870439 che costituisce titolo e=
secutivo ai sensi dell'art. 30, comma 1, del DL n. 78/2010 convertito
= con modificazioni in Legge n. 122/2010, è allegato alla present= e e
riguarda i contributi accertati e dovuti a titolo di Gestione Azie=
nde con lavoratori dipendenti per l'importo totale, comprensivo delle
= spese di notifica e degli oneri di riscossione, di: 3.928,00. euro
=
{Il dettaglio e le motivazioni sono riportate nella sezione
"DETTAGLIO DEGLI ADDEBITI E DEGLI IMPORTI DOVUTI" dell'avviso di
addebito sopra identificato.}
Questo e' un messaggio di posta elettronica generato automaticament= e
dal sistema. La preghiamo di non rispondere/inviare email all'indiri=
zzo mittente, perche' e' una casella applicativa, pertanto qualsiasi
m= essaggio non sara' letto.
Clausola di riservatezza
Le informazioni contenute in questo messaggio di posta elettronica =
sono riservate e confidenziali e ne è vietata la diffusione In =
qualunque modo eseguita. Qualora Lei non fosse la persona a cui il
pre= sente messaggio è destinato, La invitiamo gentilmente ad elimin=
arlo dopo averne dato tempestiva comunicazione al mittente e a non
uti= lizzare In alcun caso il suo contenuto. Qualsiasi utilizzo non
autoriz= zato di questo messaggio e dei suoi eventuali allegati espone
il respo= nsabile alle relative conseguenze civili e penali.
Notice to recipient
This e-mail is strictly confidential And meant For only the intende= d
recipient of the transmission. If you received this e-mail by mistak=
e, Any review, Use, dissemination, distribution, Or copying of this
e-= mail Is strictly prohibited. Please notify us immediately of the
Error= by Return e-mail And please Delete this message From your
system. Tha= nk you In advance For your cooperation.