Un nuovo tipo di virus via mail. Davvero.
Marino de Stena
Owner di AlienPro srl e iGrest srl - Presidente di ViviAdriano APS - Conduttore radiofonico a Radio Cernusco Stereo
Oggi vi parlo di questa PEC che ho potuto vedere recentemente, la vedete qui in alto. Ho oscurato un po' di informazioni per privacy, ma posso garantirvi che i dati che trovate nel testo della mail sono quelli aziendali e corretti, comprensivi di:
Il messaggio è scritto in un italiano corrente e corretto. Ad una prima vista non insospettisce.
L'allegato invece, è molto interessante. Il nome del file contiene il numero di Partita IVA ed è in formato ZIP.
L'antivirus locale non ha segnalato alcun problema e ha fatto passare il messaggio.
Molte persone, davanti a questo tipo di scenario, aprirebbero il file ZIP allegato: ERRORE!
Altre persone, quelle più sgamate, girerebbero il file al normalmente valido VirusTotal. Purtroppo nessuno dei 56 motori di antivirus usata da questa piattaforma non ha rilevato il file come malevolo! ERRORE ed ORRORE!
In realtà, come potete immaginare, il file è malevolo. Oh, se è malevolo!
Il report prodotto da Hybrid Analisys, invece, parla molto chiaro: innestato nel file zip, dentro ad un altro file zip (!) ci sono alcuni file, ma anche un file malevolo che farebbe danni su un computer Windows.
Consigliati da LinkedIn
Pertanto, occhio ai file. Diffidate alla grande da tutto ciò che vi arriva via mail in formato ZIP e EXE. Sempre!
Per fortuna molti motori antispam bloccano mail contenenti file ZIP o EXE. Molti, non tutti!
SPIEGAZIONE TECNICA
Gli antivirus moderni riconoscono i virus tramite l'hash del file. Ovvero, cercano di capire se quel file è già stato visto e riconosciuto come malevolo da altre parti.
L'hash di un file è una "impronta" software. Un po' come un codice fiscale univoco di un file. Non ci sono due file diversi che hanno lo stesso hash.
Come abbiamo visto, il file è univoco. Il nome del file (anche quello dentro lo zip) è personalizzato. Pertanto, il file in oggetto è sempre univoco. Questo inganna gli antivirus e anche il solitamente ottimo VirusTotal.
Quello che fa Hybrid Analisys, invece, è andare ad aprire il file in una sandbox (è una macchina virtuale che non fa danni all'esterno) su un proprio server e a rilevarneil comportamento.
Il report parla chiarissimo: il file fiscale.wsf (la cui estensione di suo è già preoccupante, è un eseguibile poco riconoscibile all'utente medio) contenuto nel file ZIP innestato, si collega all'esterno con il sito ugandacell e fa tante cosine poco simpatiche alla nostra macchina.