Posta certificata Aruba che in realtà è un virus

È in corso in queste ore una vasta campagna spam che sta prendendo di mira gli account di posta degli italiani. Un’email, in cui figura l’oggetto POSTA CERTIFICATA: Ordine nr. e che contiene il testo Messaggio di posta certificata, sembra provenire dal provider Aruba e pare, ad una prima sommaria occhiata, trattarsi di un messaggio PEC.

Il mittente indicato è posta-certificata@pec.aruba.it e nel corpo del testo v’è il messaggio che Aruba appone in calce ai messaggi di posta elettronica certificata: Il messaggio originale è incluso in allegato, per aprirlo cliccare sul file “postacert.eml” (nella webmail o in alcuni client di posta l’allegato potrebbe avere come nome l’oggetto del messaggio originale). L’allegato daticert.xml contiene informazioni di servizio sulla trasmissione. Il messaggio originale è incluso in allegato.

In realtà, l’allegato postacert.eml si chiama postacert.eml.zip e, una volta aperto, porta all’installazione di malware sul sistema in uso.
Il file daticert.xml, poi, presente nei messaggi PEC di Aruba non è affatto presente.

Il messaggio non è quindi affatto un’email di posta elettronica certificata Aruba: per verificarlo basta analizzarne le intestazioni (headers; vedere anche Da dove arriva una mail e chi l’ha inviata?) per capire che sui server del provider toscano non è mai transitato e che il mittente è stato semplicemente falsificato (email spoofing).

Allo stato attuale, l’email sembra superare i controlli espletati dalla maggior parte dei sistemi antispam: è quindi bene usare la massima cautela e cancellare immediatamente l’email.

Da poco i principali motori antivirus hanno iniziato a riconoscere la minaccia (vedere questa pagina su VirusTotal ma non tutti sono egualmente abili. Massima attenzione, quindi.

Anche perché è vero che l’email non contiene testi particolari ma coloro che sono abituati ad usare la PEC potrebbero cadere nel tranello.

Il malware diffuso con i falsi messaggi di posta elettronica certificata (PEC) Aruba: di che cosa si tratta

Nelle scorse ore abbiamo inviato il malware allegato ai falsi messaggi di posta elettronica certificata (PEC) di Aruba ai tecnici di Saferbytes.

Marco Giuliani, CEO dell’italiana Saferbytes, ci ha immediatamente risposto spiegando che il malware in questione è un password stealer, un componente malevolo che sottrae le credenziali degli utenti – memorizzate sul sistema – e le trasmette a terzi.

Il malware fa parte di una più grande famiglia alla quale non è stato ancora assegnato un nome ma che è in circolazione già dal mese di giugno 2016.

Il malware, inoltre, si diffonde automaticamente autospedendosi agli indirizzi email trovati nella rubrica dell’utente. Ecco perché, analizzando gli header delle false PEC Aruba, l’IP pubblico di partenza è spesso italiano (riferibile a connessioni a banda larga di provider italiani).

Dal giugno scorso, Saferbytes ha contato circa 600 esemplari del malware, tutti individuati con firme generiche dai vari motori antivirus.