Una nuova mail di phishing sta girando per la rete invadendo le caselle postali di molti utenti italiani. Si tratta di una finta segnalazione di accertamento che sembra provenire da un indirizzo email della polizia italiana (pr_mazzi@poliziadistato.it): nella lettera il sedicente agente di polizia sostiene di aver colto il destinatario a scaricare file mp3 pirata e invita ad aprire un allegato per leggere l'informativa in merito ed essere così scagionato da qualsiasi procedimento legale.
L'allegato in questione non è, come viene descritto nella lettera, un file di testo, bensì un file eseguibile (di ambiente Windows) che nasconde un cavallo di troia, una variazione del noto malware Win32/TrojanDownloader.Nurech.NAT facilmente riconoscibile da qualsiasi antivirus aggiornato. Secondo quanto rilevato da pcalsicuro.com «il file è un Trojan.Downloader che, una volta controllata l'assenza di debugger, inietta il proprio payload all'interno di svchost.exe e scarica un dialer, denominato msupdate.exe, dall'indirizzo IP: 213.180.199.7».
Attacchi simili, scritti in lingua italiana (anche se con grammatica precaria e ottenuti probabilmente con correttori automatici) e partoriti per un pubblico italiano si stanno cominciando a diffondere ormai da tempo: è recente la notizia di tentativo simile che sfrutta la notorietà del marchio Poste Italiane e che ha avuto grande diffusione tra le caselle di posta del nostro paese. Il caso odierno tenta di fare leva sulla paura inconscia di molti scaricatori di materiale pirata di finire sotto inchiesta dalla polizia, spingendo così all'apertura dell'allegato maligno.
In realtà, come rileva Paolo Attivissimo, blogger esperto in materia, l'attacco non è assolutamente dei più sofisticati, dato che falsificare l'indirizzo mittente è una pratica assolutamente alla portata di tutti. Il testo inoltre è scritto in un italiano precario, con alcuni errori di grammatica nonchè di forma (difficilmente la polizia si rivolgerebbe ad un cittadino in simili toni) e di procedura (la polizia non invierebbe una mail per avvertire di aver rilevato la colpevolezza e di non voler procedere oltre).
Recita la mail in questione:
Da: Prisco Mazzi / Polizia [mailto:prima@poliziadistato.it]
Inviato: mercoledì 16 maggio 2007 10.32
A: xxxx.xxx@xxxx.xx
Oggetto: Polizia - Avviso
Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.
Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.
Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.
La vostra parola d'accesso personale per l'archivio: 1605
E obbligatorio.
Grazie per la collaborazione
Attenzione. Al momento posso assicurarvi che NOD32 rimuove il virus.