20873 Letture

Posta certificata Aruba che in realtà è un virus

È in corso in queste ore una vasta campagna spam che sta prendendo di mira gli account di posta degli italiani. Un'email, in cui figura l'oggetto POSTA CERTIFICATA: Ordine nr. e che contiene il testo Messaggio di posta certificata, sembra provenire dal provider Aruba e pare, ad una prima sommaria occhiata, trattarsi di un messaggio PEC.

Il mittente indicato è posta-certificata@pec.aruba.it e nel corpo del testo v'è il messaggio che Aruba appone in calce ai messaggi di posta elettronica certificata: Il messaggio originale è incluso in allegato, per aprirlo cliccare sul file "postacert.eml" (nella webmail o in alcuni client di posta l'allegato potrebbe avere come nome l'oggetto del messaggio originale). L'allegato daticert.xml contiene informazioni di servizio sulla trasmissione. Il messaggio originale è incluso in allegato.

Posta certificata Aruba che in realtà è un virus

In realtà, l'allegato postacert.eml si chiama postacert.eml.zip e, una volta aperto, porta all'installazione di malware sul sistema in uso.
Il file daticert.xml, poi, presente nei messaggi PEC di Aruba non è affatto presente.


Il messaggio non è quindi affatto un'email di posta elettronica certificata Aruba: per verificarlo basta analizzarne le intestazioni (headers; vedere anche Da dove arriva una mail e chi l'ha inviata?) per capire che sui server del provider toscano non è mai transitato e che il mittente è stato semplicemente falsificato (email spoofing).

Allo stato attuale, l'email sembra superare i controlli espletati dalla maggior parte dei sistemi antispam: è quindi bene usare la massima cautela e cancellare immediatamente l'email.


Da poco i principali motori antivirus hanno iniziato a riconoscere la minaccia (vedere questa pagina su VirusTotal ma non tutti sono egualmente abili. Massima attenzione, quindi.

Anche perché è vero che l'email non contiene testi particolari ma coloro che sono abituati ad usare la PEC potrebbero cadere nel tranello.

Il malware diffuso con i falsi messaggi di posta elettronica certificata (PEC) Aruba: di che cosa si tratta

Nelle scorse ore abbiamo inviato il malware allegato ai falsi messaggi di posta elettronica certificata (PEC) di Aruba ai tecnici di Saferbytes.

Marco Giuliani, CEO dell'italiana Saferbytes, ci ha immediatamente risposto spiegando che il malware in questione è un password stealer, un componente malevolo che sottrae le credenziali degli utenti - memorizzate sul sistema - e le trasmette a terzi.

Il malware fa parte di una più grande famiglia alla quale non è stato ancora assegnato un nome ma che è in circolazione già dal mese di giugno 2016.

Il malware, inoltre, si diffonde automaticamente autospedendosi agli indirizzi email trovati nella rubrica dell'utente. Ecco perché, analizzando gli header delle false PEC Aruba, l'IP pubblico di partenza è spesso italiano (riferibile a connessioni a banda larga di provider italiani).

Dal giugno scorso, Saferbytes ha contato circa 600 esemplari del malware, tutti individuati con firme generiche dai vari motori antivirus.

  1. Avatar
    Michele Nasi
    03/11/2016 17:44:14
    Purtroppo Aruba nulla può fare per arginare questi messaggi di spam forieri di malware. L'unica cosa è bloccarli lato loro antispam (che però, evidentemente, accorre in aiuto dei soli clienti Aruba).
  2. Avatar
    Lettore anonimo
    03/11/2016 11:20:31
    Adesso arrivano anche da nonobjective@pec.aruba.it con mittente Vodafone (mailto:vodafone.contratti@mail.vodafone.it] ) e oggetto: documenti acquisto in negozio. Il messaggio sembra reale, non capisco come mai i filtri antispam non lo blocchino: abbiamo GFI Mail Essential con SPF e Anti-spoofing attivo ed ancora arrivano... Forse anche aruba deve fare qualcosina...
  3. Avatar
    xaxa
    30/10/2016 09:47:33
    Ciao a tutti Scrivo perchè sto cercando un modo sicuro per eliminare questo malware in caso sia stato inavvertitamente aperto l'allegato infetto. Grazie
  4. Avatar
    Pinco (bis)
    28/10/2016 17:23:35
    Grazie Michele. Sempre ottimi articoli. :applauso:
  5. Avatar
    Michele Nasi
    28/10/2016 12:25:53
    News aggiornata con alcune informazioni che reputo interessanti.
  6. Avatar
    Mao99
    28/10/2016 09:22:57
    Grazie mille, molto importante...
  7. Avatar
    cristiancristian
    27/10/2016 18:04:41
    è un virus,lo ho preso stamattina in ufficio, ruba le info bancarie ,hanno tentato di fare un bonifico col mio homebanking,per fortuna la banca mi ha chiamato e mi hanno bloccato temporaneamente l' home Banking.
  8. Avatar
    Luigi Buttini
    27/10/2016 15:48:28
    Grazie! Mi sono salvato in corner
Posta certificata Aruba che in realtà è un virus - IlSoftware.it