Questa mattina due lettori mi hanno segnalato due email sospette che in giornata si stavano diffondendo a macchia d’olio tra i loro amici. Il messaggio apparentemente sembra arrivare dall’autorevole Prisco Mazzi, capitano della Polizia di Stato. Il tutore dell’ordine avvisa l’utente che dal suo computer sono stati visitati siti che trasgrediscono il diritto d’autore e scaricati mp3. Ma il comandante è buono (come gli avvocati di Bolzano..) e per questa volta chiude un occhio invitandovi a leggere l’accordo in allegato con il quale vi impegnate a non cadere più in tentazione...
Il mio Nod32 ha subito bloccato l’allegato, non perché riconosciuto come virus, bensì perché archivio protetto da password associato ad un errore in lettura che fa pensare ad un archivio corrotto (ha fatto il suo lavoro a metà;). Ma come scoperto dagli specialisti del settore si tratta invece di un eseguibile che nasconde un Trojan Horse, variazione del già noto malware Win32/TrojanDownloader.Nurech.NAT, facilmente riconoscibile da qualsiasi antivirus aggiornato (tranne Abacre 😀
Secondo i tecnici di pcalsicuro.com
il file è un Trojan.Downloader che, una volta controllata l’assenza di debugger, inietta il proprio payload all’interno di svchost.exe e scarica un dialer, denominato msupdate.exe, dall’indirizzo IP: 213.180.199.7.
Ecco il testo dell’email incriminata.
Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che
dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d.autore e sono stati
scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la
responsabilita amministrativa.
Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l.ora dell.entrata al sito nel registro del
server e l.ora del Suo collegamento al Suo provider. Come e l.unico fatto, puo sottrarsi
alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti
d.autore.
Per questo per favore conservate l.archivio (avviso_98361420.zip parola d’accesso: 1605)
allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l.accordo
che si trova dentro.
La vostra parola d’accesso personale per l’archivio: 1605
E obbligatorio.
Grazie per la collaborazione.
Come fa notare anche Paolo Attivissimo, il più grande esperto italiano di bufale online, l’email era facilmente riconducibile ad un tentativo di phishing (anche se un po’ ibrido visto che lo stile era quello, ma non c’era richiesta di dati come carta di credito o password ndr); bastava fare caso all’italiano completamente sgrammaticato, al contenuto poco credibile (ormai sapete che questo tipi di avvisi arrivano in cartaceo;), lo stile Phishing Poste Italiane (che continua imperterrito e di cui abbiamo parlato qui). L’indirizzo email di provenienza (nella fattispecie pr_mazzi@poliziadistato.it), e ricordatelo per future truffe similari, non è assolutamente un indice di attendibilità poichè gli strumenti per contraffarlo sono ormai alla portata di tutti (hackers compresi).
Alla fine il consiglio è sempre quello di avere l’antivirus aggiornato, non aprire allegati sospetti e non inserire mai dati personali o sensibili in seguito a richieste via email (soprattutto se si tratta dei dati della vostra Carta di Credito!)
Anche questa volta per una scansione cautelativa e superveloce (meno di un minuto!) vi consiglio Nanoscan online della Panda Software.
I commenti sono chiusi.