Malware aruba.it

Oggi vedo arrivare messaggi contenenti presunte fatture di Aruba.it:

 

From: comunicazioni@staff.aruba.it
Subject: Invio copia bollettino

Gentile cliente,

come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

Saluti
______________________________

Aruba S.p.A.

Servizio Clienti – Aruba.it

http://www.aruba.it

http://assistenza.aruba.it

Call center: 0575/0505

Fax: 0575/862000

_______________________________

 

In allegato, un file con nome del tipo 123456789_1234567890.pdf.zip

Guardando l’allegato un po’ più da vicino:

skull@mithrandir:~$ unzip 12345678_1234567890.pdf.zip
Archive: 12345678_1234567890.pdf.zip
inflating: 87654321_0987654321.pdf.pif

skull@mithrandir:~$ file 87654321_0987654321.pdf.pif
87654321_0987654321.pdf.pif: MS-DOS executable

Ovviamente, una occhiata agli header conferma che la mail non viene affatto da Aruba:

Return-Path: <xxxxx@hotel.de>
Received: from [80.86.156.104] (unknown [80.86.156.104])
	by mta1.spin.it (Postfix) with ESMTP id xxxxx
	for <xxxxx>; Mon, 21 Jul 2014 13:xx:xx +0200 (CEST)
Received: from [59.22.31.20] (helo=xxxxx.xxxxx.net)
	by  with esmtpa (Exim 4.69)
	(envelope-from )
	id xxxxx
	for xxxxx; Mon, 21 Jul 2014 12:xx:xx +0100
Received: from [109.26.59.81] (helo=xxxxx.xxxxx.su)
	by  with esmtpa (Exim 4.69)
	(envelope-from )
	id xxxxx
	for xxxxx; Mon, 21 Jul 2014 12:xx:xx +0100
Date: Mon, 21 Jul 2014 12:xx:xx +0100
From: comunicazioni@staff.aruba.it
To: <xxxxx>
Subject: Invio copia bollettino

Al momento della ricezione, la lista degli AV che lo riconoscono per quel che è è desolantemente scarna, come di consueto:

 

 

All’occhio…