Orbene, certo se non aspettiamo nessuna spedizione, è davvero semplice accorgersi che l’email è in sè sospetta; se a questo aggiungiamo che i filtri antispam a volte riescono a cestinare direttamente questo messaggio, il gioco è davvero semplice. Ma come dicevamo il messaggio ci è pervenuto diverse volte negli ultimi giorni (intorno alla metà di Gennaio 2013), e su 6-7 messaggi ricevuti dello stesso genere e tenore, almeno un paio sono sfuggiti al filtro antispam e sono quindi stati inseriti nella cartella della posta in arrivo, come tutti gli altri
Ad una prima analisi il messaggio potrebbe sembrare decisamente autentico: il mittente (fittizio) dell’email sarebbe “esprimere-consegna@dhl.it”, ma già il contenuto, nel merito del testo è decisamente sospetto. Innanzitutto il messaggio spinge a scaricare da un apposito link presente un fantomatico documento con cui recarsi al proprio ufficio postale per ritirare il pacco; ma l’email nulla dice dell’indirizzo errato o del nostro indirizzo o di quale sia il nostro Ufficio Postale di competenza, restando troppo sul generico. Poi, ovviamente, DHL è un corriere espresso e nulla ha a che vedere con i servizi postali nazionali, un’incongruenza questa che consente di quadrare il cerchio.
Il Trojan.Downloader.Win32.Kuluoz, da quel che si sa in giro, una volta installato sul computer, fa, durante la normale comunicazione, connettere il nostro computer ad un Server di cui diventa “schiavo”, e di cui comincerà a seguire tutte le istruzioni, come ad esempio scaricare file od eseguire applicazioni. Questo del ticket DHL è uno dei nuovi metodi con cui questo Trojan tende a propagarsi: infatti fino a qualche mese fa arrivavano direttamente delle email con allegati dei file compressi, di cui i più conosciuti sono i seguenti:
- Ticket_Delta_Air_Lines_US9760.zip
- Ticket_AA_Air_ID186-178US.zip
- Postetikett_Deutsche_Post_AG_DE482456.zip
- Print_Label_FedEx_AN173738US.zip
- FedEx_Label_ID_Order_83-27-4534US.zip
- Label_US.6366NT.zip
- IRSPROFILE.zip
- Label_Parcel_IN34-789-54UK.rar
Questo Trojan inietta il proprio codice malevolo all’interno del processo di Windows svchost.exe e si moltiplica a dismisura all’interno del sistema, risultato anche quindi complicato da disinfettare. Alcuni utenti hanno inoltre segnalato che questo Trojan avvierebbe processi atti ad effettuare il download di altri Trojan differenti.
Informazioni in merito le potete trovare a questo indirizzo (in inglese)
Da quel che si può vedere si tratterebbe di un sito in lingua ceca, adibito al servizio di Hoting e di VPS nei confronti degli utenti di quella lingua; inoltre il sito prevede anche una pagina di regitrazione. Ora non possiamo dire con certezza che il proprietario legittimo di questo sita sia a conoscenza dell’uso malevolo che ne viene fatto con l’invio di queste email di Phishing; non siamo in grado di valutarlo, anche perchè non conosciamo il ceco!
Ad ogni modo potrebbe essere, come spesso accade, che si tratti di un sito del tutto regolare, che ha però al proprio interno alcuni bug che sono stati sfruttati da terzi per far fungere il sito da Cavallo di Troia; un Trojan in un Cavallo di Troia… davvero il massimo.
Come sempre, ricordiamo, che per sventare le eventuali minacce provenienti dal mondo online basta un buon antivirus aggiornato (ed in fondo non costano molto, varrà più di qualche decina di euro il lavoro o le immagini digitali che avete sul vostro PC?), ed un minimo di diffidenza!