Messaggio di posta certificata Virus

È in corso in queste ore una vasta campagna spam che sta prendendo di mira gli account di posta degli italiani. Un’email, in cui figura l’oggetto POSTA CERTIFICATA: Ordine nr. e che contiene il testo Messaggio di posta certificata, sembra provenire dal provider Aruba e pare, ad una prima sommaria occhiata, trattarsi di un messaggio PEC.

Il mittente indicato è posta-certificata@pec.aruba.it e nel corpo del testo v’è il messaggio che Aruba appone in calce ai messaggi di posta elettronica certificata: Il messaggio originale è incluso in allegato, per aprirlo cliccare sul file “postacert.eml” (nella webmail o in alcuni client di posta l’allegato potrebbe avere come nome l’oggetto del messaggio originale). L’allegato daticert.xml contiene informazioni di servizio sulla trasmissione. Il messaggio originale è incluso in allegato.

Posta certificata Aruba che in realtà è un virus

In realtà, l’allegato postacert.eml si chiama postacert.eml.zip e, una volta aperto, porta all’installazione di malware sul sistema in uso.
Il file daticert.xml, poi, presente nei messaggi PEC di Aruba non è affatto presente.

Il messaggio non è quindi affatto un’email di posta elettronica certificata Aruba: per verificarlo basta analizzarne le intestazioni (headers; vedere anche Da dove arriva una mail e chi l’ha inviata?) per capire che sui server del provider toscano non è mai transitato e che il mittente è stato semplicemente falsificato (email spoofing).Allo stato attuale, l’email sembra superare i controlli espletati dalla maggior parte dei sistemi antispam: è quindi bene usare la massima cautela e cancellare immediatamente l’email.

Da poco i principali motori antivirus hanno iniziato a riconoscere la minaccia (vedere questa pagina su VirusTotal ma non tutti sono egualmente abili. Massima attenzione, quindi.

Anche perché è vero che l’email non contiene testi particolari ma coloro che sono abituati ad usare la PEC potrebbero cadere nel tranello.