Un messaggio fraudolento si spaccia come comunicazione dei laboratori della società di Redmond: tenta di indurre l’utente ad aprire un file nocivo allegato presentandolo come un aggiornamento di sicurezza.
Cari Clienti Microsoft“, è questo l’incipit di una falsa e-mail che vuole spacciarsi come una comunicazione proveniente dai laboratori della società di Redmond e che tenta di indurre l’utente ad avviare un file nocivo allegato al messaggio presentandolo come un importante aggiornamento di sicurezza.
Il testo dell’e-mail appare redatto in lingua italiana: è comunque quasi immediato notare come sia stato tradotto con uno dei dati servizi automatici disponibili online. Il mittente dell’e-mail è ovviamente falso: analizzando l'”header” dell’e-mail è possibile accorgersi come l’autore del messaggio abbia indicato un indirizzo di posta elettronica Microsoft assolutamente “fasullo”.
E’ bene però ricordare come Microsoft non invii mai comunicazioni che invitano ad installare aggiornamenti software via posta elettronica. Il colosso di Redmond, infatti, utilizza solo ed esclusivamente i tradizionali canali per veicolare patch ed aggiornamento di sicurezza quali Windows Update, la funzionalità “Aggiornamenti automatici” integrata in Windows, pacchetti come MBSA oppure strumenti come WSUS.
Come spiega Marco Giuliani, Prevx malware analyst, l’utente che dovesse eseguire il file nocivo allegato al messaggio truffaldino, vedrebbe il proprio sistema infettato da una variante del trojan “ZBot” che integra alcune modifiche per evitare di andare in esecuzione su macchine virtuali e sistemi di sandboxing. Il malware è infatti in grado di non avviarsi sui prodotti VMWare, VirtualBox, VirtualPC, CWSandbox, Sandboxie nonché sui servizi di controllo online ThreatExpert, Anubis e JoeBox.
Il trojan, una volta insediatosi su un sistema normale (non virtuale), attiverà funzionalità rootkit in grado di intercettare molteplici attività del sistema attraverso il monitoraggio di alcune API di Windows. Grazie a questa caratteristica, il trojan potrà registrare le operazioni svolte dall’utente e sottrarre dati personali.
