domenica 17 luglio 2011

False cartoline elettroniche di Banca Carrefour scaricano malware


Una nuova campagna di spam genera false e-mail che dichiarano di contenere e-card provenienti dalla catena di ipermercati francese Carrefour, ma in realtà rimandano gli utenti direttamente a malware. Secondo i ricercatori del vendor di sicurezza belga MX Lab, anche se le e-mail di spam hanno come oggetto un "You’ve received A Carrefour Bank E-Card!" (Tu hai ricevuto una Banca Carrefour E-Card!) e pretendono di provenire da un indirizzo E-Cards@bank.com, portano il marchio di Hallmark, una fonte ben nota di e-card di qualità. Nel messaggio e-mail si legge:

Hello!

You have just received a Carrefour E-Card.

To see it, click here,

There’s something special about that E-Card feeling. We invite you to make a friend’s day and send one.

Hope to see you soon,
Your friends at Carrefour


Ciao!

Hai appena ricevuto un Carrefour E-Card.

Per vederla, cliccate qui,

C'è qualcosa di speciale con il feeling della E-Card. Ti invitiamo a creare un friend's day ed inviare una.

Spero di vederti presto,
I toui amici al Carrefour

Non c'è attaccamento maligno, ma cliccando sul collegamento porta gli utenti a un file chiamato Carrefour.exe ospitato su un sito web esterno all'indirizzo hxxp://hivefr2-21.fornex.org/Carrefour.exe. Al momento della scrittura, l'URL non ha risposto alla nostra richiesta: "Safari non può aprire la pagina" hxxp://hivefr2-21.fornex.org/Carrefour.exe" perché il server dove si trova questa pagina non risponde". E 'possibile che il set-up di questa campagna sia fatto male, ma tenete presente che se si riceve tale messaggio contrassegnatelo immediatamente come spam. C'è sempre una modifica che l'autore effettuerà alla campagna successivamente e il payload maligno sarà ancora disponibile per il download. Secondo il rapporto di scansione di Virus Total, il file è una variante del famigerato virus Sality.


Antivirus
Versione
Last update
Result
AhnLab-V3
2011.07.12.02
2011.07.12
Win32/Kashu.E
AntiVir
7.11.11.93
2011.07.12
W32/Sality.AT
Antiy-AVL
2.0.3.7
2011.07.12
Backdoor/IRC.Zapchast
Avast
4.8.1351.0
2011.07.12
Unix:Malware-gen
Avast5
5.0.677.0
2011.07.12
Win32:Mirc-AB [PUP]
AVG
10.0.0.1190
2011.07.12
Win32/Sality
BitDefender
7.2
2011.07.12
Win32.Sality.3
CAT-QuickHeal
11.00
2011.07.11
W32.Sality.U
ClamAV
0.97.0.0
2011.07.12
PUA.IRC-Client.mIRC-3
Commtouch
5.3.2.6
2011.07.12
W32/Sality.gen2
Comodo
9362
2011.07.12
Virus.Win32.Sality.Gen
DrWeb
5.0.2.03300
2011.07.12
BackDoor.IRC.Bot.802
Emsisoft
5.1.0.8
2011.07.12
Riskware.Client-IRC.Win32.mIRC!IK
eSafe
7.0.17.0
2011.07.12
Win32.Artemis
eTrust-Vet
36.1.8439
2011.07.12
Win32/Sality.AA
F-Prot
4.6.2.117
2011.07.12
W32/Sality.gen2
F-Secure
9.0.16440.0
2011.07.12
Backdoor.IRC.ZGS
Fortinet
4.2.257.0
2011.07.12
-
GData
22
2011.07.12
Win32.Sality.3
Ikarus
T3.1.1.104.0
2011.07.12
not-a-virus:Client-IRC.Win32.mIRC
Jiangmin
13.0.900
2011.07.12
Win32/HLLP.Kuku.Gen
K7AntiVirus
9.108.4894
2011.07.11
Virus
Kaspersky
9.0.0.837
2011.07.12
Virus.Win32.Sality.bh
McAfee
5.400.0.1158
2011.07.12
W32/Sality.gen.z
McAfee-GW-Edition
2010.1D
2011.07.12
W32/Sality.gen.z
Microsoft
1.7000
2011.07.12
Virus:Win32/Sality.AT
NOD32
6287
2011.07.12
Win32/Sality.NBA
Norman
6.07.10
2011.07.12
W32/Sality.BM
nProtect
2011-07-12.03
2011.07.12
Win32.Sality.3
Panda
10.0.3.5
2011.07.12
Bck/MIRCBased.BI
PCTools
8.0.0.5
2011.07.12
Malware.Sality
Prevx
3.0
2011.07.12
-
Rising
23.66.00.03
2011.07.11
Win32.KUKU.ky
Sophos
4.67.0
2011.07.12
Mal/Sality-D
SUPERAntiSpyware
4.40.0.1006
2011.07.12
-
Symantec
20111.1.0.186
2011.07.12
Backdoor.IRC.Flood
TheHacker
6.7.0.1.253
2011.07.12
W32/Sality.gen
TrendMicro
9.200.0.1012
2011.07.12
PE_SALITY.RL
TrendMicro-HouseCall
9.200.0.1012
2011.07.12
PE_SALITY.RL
VBA32
3.12.16.4
2011.07.12
Virus.Win32.Sality.bakc
VIPRE
9843
2011.07.12
Virus.Win32.Sality.at (v)
ViRobot
2011.7.12.4564
2011.07.12
Win32.Sality.N
VirusBuster
14.0.121.0
2011.07.12
Win32.Sality.BL
      

Informazioni addizionali
MD5: 65df4530033356e9d0a1d441ed40b164
SHA1: d8cfd766a3a7c53644b187a1fbef50b66e99d2c5
SHA256: 79220d28389111e5436fb37f983a1945a006ef5a9da59b5963e0285d2fe75856
Dimensioni File: 859574 bytes
Data scansione: 12-07-2011 16:40:29 (UTC)

Fortunatamente, il file ha già un buona velocità di rilevamento degli antivirus e i messaggi di spam non sono molto ben costruiti. Una e-mail che collega direttamente a un file .Exe dovrebbe renderla sospetta a qualsiasi rispettabile filtro anti-spam. Al momento della stesura di questo articolo il link incluso nella mail non è più funzionale, probabilmente a causa degli sforzi takedown da parte della comunità di sicurezza. Tuttavia, come già detto, gli spammer potrebbe lanciare una nuova ondata con un nuovo collegamento in qualsiasi momento. Gli utenti sono invitati a prestare attenzione per quanto riguarda tutti gli allegati di posta elettronica e i collegamenti anche quando sembra che siano stati inviati da un'azienda di fiducia. Tutti i file dovrebbero essere controllati attraverso motori di scansione di servizi come Virus Total per verificare se sono infetti. Il richiamo delle e-card è in uso da anni, soprattutto intorno alle festività. Nonostante l'avvertimento degli esperti di sicurezza contro l'esecuzione dei file eseguibili, che pretendono di essere cartoline d'auguri ci sono numerosi utenti che ancora vengono infettati da questi attacchi.

Nessun commento:

Posta un commento