Cerca nel blog

2007/05/16

Prisco Mazzi, il “poliziotto” che minaccia via mail

Allerta antivirus: e-mail della "Polizia di Stato" minaccia punizioni ma trasporta virus


Questo articolo vi arriva grazie alle gentili donazioni di "federico" e "riccardo.c****".

E' in corso uno spamming di massa, a giudicare dall'ondata di segnalazioni che m'è piovuta nella casella di posta stamattina: lo scopo è infettare il maggior numero possibile di utenti sfruttando la leva della paura e del senso di colpa per far abbassare le difese. Ecco il testo del messaggio, proveniente di solito da pr_mazzi@poliziadistato.it o indirizzi simili:

Avviso

Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.

Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.

Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.

La vostra parola d'accesso personale per l'archivio: 1605

E obbligatorio.

Grazie per la collaborazione.

L'utente che la riceve, se si fa prendere dal panico e non sa che l'indirizzo del mittente di un e-mail si può falsificare con estrema facilità, potrebbe trascurare la grammatica traballante del messaggio e cascarci, aprendo l'allegato.

Certo anche la natura poco ortodossa del messaggio (ma da quando in qua la Polizia di Stato dice "ti abbiamo beccato, ma se prometti che non lo farai più, potrai evitare la punizione"?) può destare qualche perplessità, ma come s'è visto in altre occasioni analoghe, la paura e il senso di colpa (sono in molti quelli che hanno scaricato qualche MP3 non troppo legalmente) scavalcano tranquillamente queste considerazioni razionali. E la trappola scatta.

La trappola, in questo caso, è l'allegato, che è in formato ZIP cifrato per eludere gli antivirus ma contiene un file eseguibile anziché un documento come dice il messaggio. L'eseguibile è per Windows, per cui gli utenti di altri sistemi operativi non corrono alcun rischio.

Secondo quanto mi segnalano numerosi lettori (non ho un originale completo del messaggio e non ci tengo ad averlo, grazie), il file eseguibile si chiama UFFICIALMENTE_ACCORDO.exe e viene già riconosciuto dagli antivirus decenti come una variante del malware Win32/TrojanDownloader.Nurech.NAT.

Stando alle segnalazioni degli utenti, l'attacco sembra provenire o essere transitato da un server della Corea del Sud (negli header c'è gs.venuspos.co.kr).

Chi ha ricevuto il messaggio e ha aperto l'allegato sotto Windows è quindi infetto e deve chiedere l'intervento di un antivirus e di un amico o collega esperto (e darsi le randellate sulle dita per esserci cascato); chi non ha aperto l'allegato può semplicemente cestinare il messaggio.

Inviare segnalazioni alla Polizia di Stato è di dubbia utilità: la Polizia sarà già sommersa di segnalazioni identiche e avrà anche il suo bel daffare a filtrare i messaggi di protesta causati dal fatto che sembra essere il mittente apparente del messaggio-trappola.

Nessun commento: