Trojan diffuso tramite falsa querela per diffamazione aggravata

Falsa Querela per Diffamazione Studio Legale GarganiIn questi giorni migliaia di aziende e privati hanno ricevuto una mail avente come oggetto “Querela per diffamazione aggravata: 30031752” su Facebook e avente come indirizzo mittente lo Studio Legale Gargani, contenente una diffida per diffamazione aggravata su Facebook da parte di una tale Francesca De Rossi, sedicente cliente dello Studio. Il ricevente viene invitato a scaricare un documento che, invece di essere una querela, è un trojan contenuto in un eseguibile “DOC2016-00-000320-00.exe” compattato in un archivio ZIP dal nome “DOC2016-00-000320-00.zip” e caricato su diversi siti web bucati o su Dropbox.

Il messaggio è realistico e parla di una querela per diffamazione aggravata su Facebook ai danni di una sedicente Francesca De Rossi, è scritto in italiano corretto e contiene link a risorse esterne ma nessun allegato.

Da: Studio Legale Gargani <infoxxxxx.xxxxxxxxx@studiolegalegargani.it>
Date: 23 maggio 2016 12:46
Oggetto: Querela per diffamazione aggravata: 30031752

Egr. Sig. / Sig.ra,
Con la presente Le scrivo in nome e per conto della mia assistita Francesca De Rossi per diffidarla dal proseguire con l’attività lesiva e dichiaratamente diffamatoria del diritto all’immagine, al nome, alla dignità e alla riservatezza della mia assistita, attività da Lei messa in atto via social media su Facebook.

Scarica documento

Per aprire la querela prema sulla scritta “Scarica documento”

La invito, pertanto, a sospendere ogni attività lesiva facendo presente che ho già ricevuto mandato per adire le vie legali e tutelare in sede civile e penali i diritti della mia assistita.

Distinti Saluti.

Studio Legale Gargani
Tel. +39 06.42006977 – Fax 089200144
Email: info@studiolegalegargani.it

Messaggio dello Studio Legale GarganiOvviamente lo Studio Legale Gargani, che esiste davvero, non ha nulla a che fare con la diffusione di queste mail e con i malware tramite esse veicolati, né il loro sito o i loro sistemi sono stati coinvolti. Semplicemente gli autori del trojan hanno deciso di utilizzare i loro dati (per altro pubblici, come dominio e numeri di telefono) per rendere più credibile la querela per diffamazione. Lo Studio Legale Gargani, per aiutare le vittime a capire che si tratta di un malware, hanno temporaneamente sostituito il loro sito web con un messaggio che precisa la loro estraneità alla vicenda e tranquillizza circa l’integrità dei loro sistemi e del sito web.

STUDIO LEGALE GARGANI

COMUNICAZIONE IMPORTANTE:

Il sito è momentaneamente off-line al fine di informare coloro che, a seguito di attacco SPAM che ha coinvolto numerose aziende in Italia, avessero ricevuto comunicazione e-mail da questo Studio con la quale si informava di presunta denuncia-querela da parte di tale sig.ra Francesca De Rossi.

La comunicazione in questione NON è stata inviata dallo Studio Legale Gargani e, pertanto, non si ritiene responsabile di disagio che questa avesse procurato poiché nessuno dei nostri sistemi è stato violato in alcun modo, compreso il sito web che è stato modificato a solo scopo di cortesia per aiutare le persone colpite da tale disagio.

Il file che viene scaricato presenta hash MD5 c5e0c9e09fe9ddd491a06414c5400338, SHA256856f9b76815c5e31320979ff59f6c1dbaaa1a7c5bf0d5413dea11b57903a605a ed è un dropper che, sembra, non scarica ransomware ma un keylogger di tipo Pony che ruba le credenziali delle vittime (password, login, etc…) per utilizzarle poi per fini illeciti. Chi è interessato può visionare le analisi del dropper sui siti VirusTotalMalwr e Hybrid Analysis .

Il file con l’infezione è ospitato su diversi siti, bucati dai delinquenti per potervi caricare il trojan, alcuni dei quali sono tutt’ora compromessi e in fase di ripristino. Oltre a siti bucati, i delinquenti hanno fatto uso di condivisioni Dropbox per caricare il malware, che spesso sono difficili da filtrare perché Dropbox viene utilizzato in numerose aziende e quindi considerato attendibile.

Falsa denuncia di diffamazione con malware ospitato su Dropbox

Dropbox è purtroppo pesantemente utilizzato per condividere malware, dato che permette una veloce registrazione e l’upload di materiale infetto che poi può essere condiviso tramite link pubblici. Per farsi un’idea di quali malware vengono diffusi quotidianamente tramite Dropbox, si può consultare il seguente elenco su ScumWare.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.