Attenzione alla falsa fattura TIM, è un cryptovirus

La settimana scorsa avevamo pubblicato una informativa circa la diffusione di false fatture Vodafone che diffondono tramite phishing il cryptovirus Crypt0l0cker. Da alcuni giorni sono in circolazione email di phishing con mittente “Telecom Italia-TIM [email protected]” e oggetto “Fattura TIM linea Fissa – Giugno 2016 – scadenza 25/06/2016” che informano circa l’emissione di una nuova fattura TIM di Giugno 2016 ma che, invece della fattura TIM, attivano il download di un cryptovirus.

Non si corre alcun rischio se si è semplicemente ricevuto e visualizzato il messaggio di posta, invitiamo invece a non cliccare sul link “Si prega di scaricare la fattura” perché questo attiverebbe il download di un archivio ZIP “Fattura%200039485.zip” dentro il quale è contenuto un eseguibile “mascherato” da file PDF “Fattura 0039485.pdf.exe”. Se si è cliccato sul link nessun problema, basta non aprire il file che è stato scaricato sul proprio PC e cancellarlo, rimuovendolo anche dal cestino per sicurezza.

Il dropper (cioè il programma che avvia il download del cryptovirus) è stato caricato dai delinquent su Dropbox tramite shared link, a questo indirizzo.

Il reindirizzamento verso questo indirizzo viene fatto da un sito “bucato”, CemeteryDepot.com [WBM].

Il testo completo del messaggio di posta elettronica di phishing contenente il link al CriptoVirus è il seguente:

Gentile [email protected]

ti informiamo che la tua fattura TIM di Giugno 2016 relativa alla linea 0039485 è stata appena emessa ed è disponibile online.
Si prega di scaricare il fattura
Ti ricordiamo che in MyTIM Fisso nella sezione Il mio profilo puoi richiedere di ricevere la fattura TIM esclusivamente online. Risparmierai così le spese di spedizione postale.

Ti aspettiamo presto su www.tim.it
Grazie

Servizio Clienti tim.it

Attenzione:ti invitiamo a non rispondere a questo messaggio: questa casella di posta elettronica non è abilitata alla ricezione.

Chi fosse interessato ad approfondire l’analisi del sample contenente il dropper e del payload scaricato contenente il Crypto Virus può seguire i seguenti link su VirusTotal, Malwr e Hybrid Analysis.

https://www.virustotal.com/en/file/a2392faf94aa10ab5d3b9614193d4c66b77414127d30cb1189abef7155ff5cdd/analysis/1466943323/
https://www.hybrid-analysis.com/sample/54219aa736c0e71740dc5e185dfd754c98d6fc627ea86c4f117b44bd06970f70?environmentId=100

Aggiornamento del 30 giugno 2016

Continua la campagna di phishing delle finte fatture TIM, questa volta su sito bucato hxxp://orbissun[.]com/.95uh7/fattura.html e downloa del payload cryptovirus da hxxps://www.sugarsync[.]com/pf/D3270913_814_989637021?directDownload=true. In allegato alle mail sempre uno ZIP contenente un EXE, qui analisi VirusTotal.

Termini di ricerca frequenti

False Fatture Telecom
Tim Fatture
Tim It Clienti
Fatture Tim
Fatture False Tim
Fatture Tim False
Www Tim It
Tim Fatture Via Mail
Virus Fattura Telecom
Fatture Telecom False
False Email Tim
Virus Da Telecom
Falsa Fattura Telecom
Mail Fattura Telecom Virus
Mail Tim False
Fattura Telecom Zip
Fattura Email Telecom
Email Telecom Con Allegato Zip
Tim Virus Per Email
Fatture Tim Attenzione
Fattura Tim Linea Fissa Virus
False Fatture Telecom Via Email
Falsa Fattura Tim
Messaggi Tim Fattura
Tim Finte Fatture
Virus Tim Fattura Online
Email Da Tim Virus
Fattura Linea 0039485
Scaricare Fattura Di Giugno 2016 Tim
Email Tim Fattura
Finte Fatture Telecom
Phishing Email Tim
Mail Fattura Telecom Italia
False Mail Tim Virus
Fattura Falsa Tim
Tim Richiede Di Scaricare La Fattura
Mail Fattura
False Email Telecom
Mail Telecom Italia Tim Fattura Virus
Email Fattura Tim Linea Fissa
0039485
Tim Falsa
Virus Con Messaggio Tim
Fattura Via Mail Tim
Mail Fattura Tim Linea Fissa
Fattura Tim Linea Fissa Falsa
Email Falsa
Tim Fatture False
Virus Email Fattura Tim
Attenzione Alle False Fatture Telecom
Fattura Tim
Virus Con Fatture False
Tim Mail
Tim Email
Virus Tim
Virus Pc Messaggio Telecom
Telecom Linea
Fattura Telecom
Phishing Tim
Ransomware Tim
Telecom Email Per Scadenza Fatture
Email Linea Fissa Tim
Tim It
Messaggio Sul Pc Da Telecom
False Fatture Tim
Telecom Italia Tim Fatture False Via Mail
Finte Mail Fattura
Www Tim It Mail
Mail Con Fattura Linea Tim Fissa
Tim Fattura Linea Fissa Virus
Allegato Con Virus Da Telecom
Finte Mail Tim
Falsa Fattura Tim It

laura ha detto:

2 Marzo 2017 alle 18:52

COMMENTO :ma come e’ possibile che una azienda come Telecom Italia permetta ancora una cosa del genere?

Rispondi

Paolo Dal Checco ha detto:

13 Marzo 2017 alle 12:27

In realtà molto spesso le aziende il cui nome viene “abusato” per convincere le vittime dei ransomware ad aprire le mail non ne possono nulla o quasi nulla. Certamente possono – e in genere lo fanno – impostare sui DNS dei loro domini i record DKIM e SPF, così da rendere più difficile lo spoofing dei propri indirizzi di posta che rende il phishing più credibile. Possono avvisare i propri clienti degli attacchi di phishing finalizzati alla diffusione del ransomware in corso. Ma non possono evitare che da qualche parte nel mondo qualcuno abusi del loro nome e del loro logo, nascondendosi dietro un anonimato difficile da sconfiggere, per inviare spam contenente malware.

Rispondi
plinio ha detto:

13 Aprile 2017 alle 12:52

I filtri di TIM non filtrano nulla perchè la TIM vuole che gli utenti paghino per avere filtri efficaci; inoltre la procedura gratutita che offre la TIM riguardo il blando filtro è così contorta ed inefficace che lascia il tempo che trova.
Una patata bollente lasciata smaltire alla utenza.

Rispondi

MICHELE COLOMBO ha detto:

31 Dicembre 2016 alle 14:53

SONO STATO INFETTATO DA UN CRIPTO E HA CRIPTATO I MIEI FILES TRASFORMANDOLI IN XXXX.9A10 HO SPERANZA DI RECUPARLI ?

Marco Parrilla ha detto:

30 Dicembre 2016 alle 6:17

Continuano le false email della Tim… Attenzione

Claudio ha detto:

8 Luglio 2016 alle 21:02

OK, ottime informazioni… ma come si risolve il problema se il pc é infettato?

Paolo Dal Checco ha detto:

9 Luglio 2016 alle 18:23

Per la rimozione del trojan si possono usare diverse soluzioni, i principali antivirus dopo qualche giorno sono pienamente in grado d’identificarlo ed eliminarlo dal PC. Si possono trovare guide che spiegano come rimuovere specifici ransomware o anche tool ad hoc, che funzionano soltanto per uno o più tipi d’infezioni. Ovviamente la rimozione dei ransomware non implica anche il recupero dei dati anzi, a volte se si rimuovono i ransomware si rischia di perdere chance di poter decifrare i dati, perché i sistemi antivirus rimuovono anche tracce dell’infezione che avrebbero potuto essere utili per il recupero dei dati.

Rispondi

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Aggiornamento del 30 giugno 2016

Termini di ricerca frequenti

Lascia un commento Annulla risposta