Ho appena segnalato un tentativo di infettarti con un malware tramite WeTransfer che mi arriva una segnalazione da Celestino, che ringrazio, per un phishing WeTransfer più elaborato.
Il sistema è sempre lo stesso. Ti arriva un’email da WeTransfer identica a quella che ti arriva quando qualcuno ti ha legittimamente mandato uno o più files.
L’email è in italiano ma il messaggio contenuto è in inglese e ti dice solo di dare un’occhiata al pdf.
La prima cosa strana che salta all’occhio sono le dimensioni del file. WeTransfer viene usato per inviare files molto pesanti che non è possibile mandare via email ma le dimensioni del file qui sono di 405 byte. Per quale motivo, se non per un motivo subdolo, uno dovrebbe inviarti un file semplicissimo che poteva benissimo essere inviato via mail?
La seconda cosa è che il messaggio ti dice di vedere il pdf ma il file che scarichi è un file html.
L’ho scaricato ed ecco cosa succede.
Faccio doppio click sul file html e vengo subito rediretto a questo indirizzo
hxxps://aeroproposal.com/aero/gfile/SP12/SP/index.php
dove vedo questo
che appare come un tentativo di farti credere di essere su OneDrive – il servizio cloud di Microsoft – ma non è affatto vero perché sei su un sito compromesso.
Ho cliccato su uno dei pulsanti e appare una finestrella con la richiesta delle credenziali di accesso
quindi ho inserito delle credenziali false e dopo una piccola animazione che ti fa credere che il sistema sta facendo qualcosa, mi appare questo
che è un modulo compilabile per una richiesta di acquisto. Peraltro l’url da dove viene preso questo modulo si trova sul sito dell’Università del Texas quindi può anche essere che sia un modulo correttamente usato da loro per utilizzi interni e tu, dopo avere inserito le credenziali, vieni portato qui e pensi ci sia stato un errore quando in realtà lo scopo del phisher è quello di rubarti i dati di accesso alla tua email o ai tuoi account di Microsoft, Yahoo, AOL o alla tua email personale.
Tentativo di phishing molto elaborato ma che alla fine ha sempre lo scopo di rubarti le credenziali di accesso a qualcosa di personale.
