In EvidenzaMail e SpamPhishingVirus, Trojan, Malware

Una “finta” email dal corriere DHL ci reindirizza ad un sito con Trojan

emailfintadhlUna delle email che più spesso ed anche con una certa insistenza sta arrivando nelle caselle email degli italiani, è una finta email del corriere DHL, che potrete trovare in screenshot qui accanto, in cui si paventa un tentativo di consegna non andato a buon fine, per una presunta spedizione che dovrebbe esserci stata indirizzata.

Orbene, certo se non aspettiamo nessuna spedizione, è davvero semplice accorgersi che l’email è in sè sospetta; se a questo aggiungiamo che i filtri antispam a volte riescono a cestinare direttamente questo messaggio, il gioco è davvero semplice. Ma come dicevamo il messaggio ci è pervenuto diverse volte negli ultimi giorni (intorno alla metà di Gennaio 2013), e su 6-7 messaggi ricevuti dello stesso genere e tenore, almeno un paio sono sfuggiti al filtro antispam e sono quindi stati inseriti nella cartella della posta in arrivo, come tutti gli altri

Ad una prima analisi il messaggio potrebbe sembrare decisamente autentico: il mittente (fittizio) dell’email sarebbe “[email protected]”, ma già il contenuto, nel merito del testo è decisamente sospetto. Innanzitutto il messaggio spinge a scaricare da un apposito link presente un fantomatico documento con cui recarsi al proprio ufficio postale per ritirare il pacco; ma l’email nulla dice dell’indirizzo errato o del nostro indirizzo o di quale sia il nostro Ufficio Postale di competenza, restando troppo sul generico. Poi, ovviamente, DHL è un corriere espresso e nulla ha a che vedere con i servizi postali nazionali, un’incongruenza questa che consente di quadrare il cerchio.

kasperskydhlPer curiosità, ed essendo protetti da Kaspersky Pure 2.0, abbiamo voluto cliccare sul link di questa email di Phishing, per cercare di capire quale fosse l’intento dei fraudolenti mittenti di questa email; orbene come ben si può vedere nello screenshot di Kaspersky, che ci nega l’accesso al sito onde evitare “infezioni” al nostro computer, lURL fraudolenta reindirizza ad un Trojan chiamato Kuluoz che si sarebbe intrufolato nel nostro computer.

Il Trojan.Downloader.Win32.Kuluoz, da quel che si sa in giro, una volta installato sul computer, fa, durante la normale comunicazione, connettere il nostro computer ad un Server di cui diventa “schiavo”, e di cui comincerà a seguire tutte le istruzioni, come ad esempio scaricare file od eseguire applicazioni. Questo del ticket DHL è uno dei nuovi metodi con cui questo Trojan tende a propagarsi: infatti fino a qualche mese fa arrivavano direttamente delle email con allegati dei file compressi, di cui i più conosciuti sono i seguenti:

  • Ticket_Delta_Air_Lines_US9760.zip
  • Ticket_AA_Air_ID186-178US.zip
  • Postetikett_Deutsche_Post_AG_DE482456.zip
  • Print_Label_FedEx_AN173738US.zip
  • FedEx_Label_ID_Order_83-27-4534US.zip
  • Label_US.6366NT.zip
  • IRSPROFILE.zip
  • Label_Parcel_IN34-789-54UK.rar

Questo Trojan inietta il proprio codice malevolo all’interno del processo di Windows svchost.exe e si moltiplica a dismisura all’interno del sistema, risultato anche quindi complicato da disinfettare. Alcuni utenti hanno inoltre segnalato che questo Trojan avvierebbe processi atti ad effettuare il download di altri Trojan differenti.

Informazioni in merito le potete trovare a questo indirizzo (in inglese)

szserverhosthomeIl Server su cui è appoggiato questo trojan è il sito szerverhost.eu, come potete vedere dallo screenshot qui accanto. Noi ci siamo collegati alla home page, che non sembra infetta, infatti il nostro antivirus non ci ha comunicato nulla in materia.

Da quel che si può vedere si tratterebbe di un sito in lingua ceca, adibito al servizio di Hoting e di VPS nei confronti degli utenti di quella lingua; inoltre il sito prevede anche una pagina di regitrazione. Ora non possiamo dire con certezza che il proprietario legittimo di questo sita sia a conoscenza dell’uso malevolo che ne viene fatto con l’invio di queste email di Phishing; non siamo in grado di valutarlo, anche perchè non conosciamo il ceco!

Ad ogni modo potrebbe essere, come spesso accade, che si tratti di un sito del tutto regolare, che ha però al proprio interno alcuni bug che sono stati sfruttati da terzi per far fungere il sito da Cavallo di Troia; un Trojan in un Cavallo di Troia… davvero il massimo.

Come sempre, ricordiamo, che per sventare le eventuali minacce provenienti dal mondo online basta un buon antivirus aggiornato (ed in fondo non costano molto, varrà più di qualche decina di euro il lavoro o le immagini digitali che avete sul vostro PC?), ed un minimo di diffidenza!

Related posts
Piani di Investimento

Le truffe sugli investimenti online: un fenomeno in costante crescita

In EvidenzaMail e SpamPhishingSMS Spoofing

Un SMS da PosteInfo, che sembra legittimo, ma è phishing...

In EvidenzaMail e SpamPhishing

Email ed SMS: clienti Intesa San Paolo sotto attacco per phishing

In EvidenzaMail e SpamRichieste di PagamentoVirus, Trojan, Malware

La truffa dei video compromettenti si evolve: ancora sul tentativo di estorsione a sfondo sessuale