Attenzione alla falsa fattura TIM, è un cryptovirus

Phishing tramite falsa fattura TIM che diffonde CryptoVirusLa settimana scorsa avevamo pubblicato una informativa circa la diffusione di false fatture Vodafone che diffondono tramite phishing il cryptovirus Crypt0l0cker. Da alcuni giorni sono in circolazione email di phishing con mittente “Telecom Italia-TIM clienti@tim.it” e oggetto “Fattura TIM linea Fissa – Giugno 2016 – scadenza 25/06/2016” che informano circa l’emissione di una nuova fattura TIM di Giugno 2016 ma che, invece della fattura TIM, attivano il download di un cryptovirus.

Non si corre alcun rischio se si è semplicemente ricevuto e visualizzato il messaggio di posta, invitiamo invece a non cliccare sul link “Si prega di scaricare la fattura” perché questo attiverebbe il download di un archivio ZIP “Fattura%200039485.zip” dentro il quale è contenuto un eseguibile “mascherato” da file PDF “Fattura 0039485.pdf.exe”. Se si è cliccato sul link nessun problema, basta non aprire il file che è stato scaricato sul proprio PC e cancellarlo, rimuovendolo anche dal cestino per sicurezza.

Il dropper (cioè il programma che avvia il download del cryptovirus) è stato caricato dai delinquent su Dropbox tramite shared link, a questo indirizzo.

Shared link su Dropbox che contiene CryptoVirus

Il reindirizzamento verso questo indirizzo viene fatto da un sito “bucato”, CemeteryDepot.com [WBM].

Il testo completo del messaggio di posta elettronica di phishing contenente il link al CriptoVirus è il seguente:

Gentile info@ransomware.it

ti informiamo che la tua fattura TIM di Giugno 2016 relativa alla linea 0039485 è stata appena emessa ed è disponibile online.
Si prega di scaricare il fattura
Ti ricordiamo che in MyTIM Fisso nella sezione Il mio profilo puoi richiedere di ricevere la fattura TIM esclusivamente online. Risparmierai così le spese di spedizione postale.

Ti aspettiamo presto su www.tim.it
Grazie

Servizio Clienti tim.it

Attenzione:ti invitiamo a non rispondere a questo messaggio: questa casella di posta elettronica non è abilitata alla ricezione.

Chi fosse interessato ad approfondire l’analisi del sample contenente il dropper e del payload scaricato contenente il Crypto Virus può seguire i seguenti link su VirusTotal, Malwr e Hybrid Analysis.

  • https://www.virustotal.com/en/file/a2392faf94aa10ab5d3b9614193d4c66b77414127d30cb1189abef7155ff5cdd/analysis/1466943323/
  • https://www.hybrid-analysis.com/sample/54219aa736c0e71740dc5e185dfd754c98d6fc627ea86c4f117b44bd06970f70?environmentId=100

Aggiornamento del 30 giugno 2016

Continua la campagna di phishing delle finte fatture TIM, questa volta su sito bucato hxxp://orbissun[.]com/.95uh7/fattura.html e downloa del payload cryptovirus da hxxps://www.sugarsync[.]com/pf/D3270913_814_989637021?directDownload=true. In allegato alle mail sempre uno ZIP contenente un EXE, qui analisi VirusTotal.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *