Sembra cryptolocker… invece è solo phishing DHL

Allegato PDF al phishing DHLIn arrivo sulle nostre caselle di posta, nel mese di luglio 2015, una mail proveniente da “DHL Express <[email protected]>” e contenente un pdf in allegato. La prima impressione è quella di un ransomware come Cryptolocker, che ultimamente si “nasconde” dentro script allegati PDF oppure dietro link a fantomatici siti di corrieri dai quali la vittima scarica una presunta lettera di vettura. In realtà, il link contenuto nel PDF allegato all’email porta a un sito “bucato” che ospita un mirror della pagina di login del corriere DHL. Ovviamente, una volta loggati, i nostri dati di accesso li avrà il delinquente che gestisce il sito di phishing DHL e li userà nel miglior modo che riterrà, ovviamente a nostro danno.

La mail di phishing proveniente da un indirizzo falso DHL non contiene altro che l’allegato “DHL_EXPRESS_DELIVERY.pdf” ritratto nella figura in alto, che come ci mostra il tool “pdfid” non contiene script o codice malevolo, ma semplicemente un link al sito di un malcapitato che non sa di essere tramite per attività di phishing.

$ pdfid.py DHL_EXPRESS_DELIVERY.pdf
PDFiD 0.1.2 DHL_EXPRESS_DELIVERY.pdf
PDF Header: %PDF-1.4
obj 36
endobj 36
stream 15
endstream 15
xref 1
trailer 1
startxref 1
/Page 1
/Encrypt 0
/ObjStm 0
/JS 0
/JavaScript 0
/AA 0
/OpenAction 1
/AcroForm 0
/JBIG2Decode 0
/RichMedia 0
/Launch 0
/EmbeddedFile 0
/XFA 0
/Colors > 2^24 0

Questa la mail ricevuta, che in apparenza sembra un’infezione di Cryptolocker ma in realtà è soltanto vettore di phishing DHL.

Phishing DHL che sembra Cryptolocker

 

Il pdf allegato alla mail di phishing,  avente hash MD5 52272ac9317b8dc3fb293f910aa06da3, è stato sottomesso al sito MALWR, dal quale potete visionare l’analisi e scaricare il sample.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.