Venerdì 30 Maggio 2014
Bollettino su spam account mail Libero

Bollettino Yarix - autore Diego Marson

Overview:

Informiamo di aver trovato tracce dell'invio di questa tipologia di mail da account libero.it fin da sabato 17 maggio 2014 alle ore 05:59:47.

Evidenziamo come l'invio delle mail in questione non avvenga da server di libero, quindi il mittente è, come si dice in gergo tecnico, spoofed (finto, non legato al vero mittente).
L’unica pubblicazione ufficiale al momento compare sul sito di libero.it  all’indirizzo http://blog.libero.it/mondolibero/12829388.html, tuttavia la Polizia Postale non ha ancora ricevuta una risposta formale al quesito scritto posto al provider stesso.

Description

Segnaliamo alcuni elementi distintivi di queste mail, utili a riconoscerle:

  • Subject uguale al nome dell'utente (es. mail “spedita” da paperino1234@libero.it, il subject è paperino1234)
  • Presenza nell'header delle mail di questi due header:
    • X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
    • X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110 

come se la mail fosse stata (o la si volesse far apparire come) spedita da Windows Live Mail.

L’aspetto che può facilmente trarre in inganno gli utenti è che la macchina che spedisce le mail utilizza contatti reali dell'utente “infetto” (un po' come facevano i malware con outlook express nei primi anni 2000).

Come può essere entrato in possesso di questi contatti lo spammer?
Le possibilità a nostro giudizio sono le seguenti:

  • Malware che ha infettato i pc degli utenti (fatto che sembrerebbe essere avvalorato dagli header che fanno sempre riferimento a Windows Live Mail). Appare tuttavia quantomeno strano che l'invio di mail riguardi esclusivamente account di Libero.
  • Compromissione server Libero, come sembrerebbe suggerire il fatto che le mail provengono sempre da mittenti (spoofed) di Libero.

Tale compromissione potrebbe essere avvenuta a vari livelli; solo a titolo di esempio, potrebbe riguardare una compromissione del server web che fornisce la webmail, o di qualche server di backend (come un DB) dove sono archiviati i contatti degli utenti.

Questa possibilità non è ancora stata smentita dalle scarne comunicazioni di Libero, fino ad ora limitate unicamente al loro blog.

Di seguito qualche spezzone di header del primo saltino tra gli mx che hanno effettuato le mail: è interessante notare la “somiglianza” degli indirizzi spoofed tra la prima (17 Maggio) e la seconda (30 Maggio); sembra che il server di relay utilizzato sia lo stesso in entrambi i casi: r3.kawaz.jp

Received: from 7cho-me.com (85.65.59.147.dynamic.barak-online.net [85.65.59.147])

            by r3.kawaz.jp (Postfix) with ESMTPA id 19E99E83CED1;

            Sat, 17 May 2014 21:59:37 +0900 (JST)

Message-ID: <6b2daac63ab3e8955fa9b2ddd3a1b768@7cho-me.com>

Received: from 7cho-me.com (unknown [112.171.218.7])

            by r3.kawaz.jp (Postfix) with ESMTPA id E9C16C5BEF1E;

            Fri, 30 May 2014 08:17:15 +0900 (JST)

Message-ID: <2eb8469b285a8b6a9e0c185bfca62cd7@7cho-me.com>

Received: from tafner.com.br (unknown [113.16.185.65])

            by servidor.tafner.com.br (Postfix) with ESMTPA id 7B796208985;

            Thu, 29 May 2014 01:07:31 -0300 (BRT)

Received: from 7cho-me.com (unknown [178.88.90.195])

            by r3.kawaz.jp (Postfix) with ESMTPA id 69F40C5BF190;

            Fri, 30 May 2014 11:40:53 +0900 (JST)

Message-ID:

Received: from gmo-seo.jp (unknown [178.122.55.251])

            by gmotech.jp (Postfix) with ESMTP id 7E0971188406;

            Thu, 29 May 2014 23:18:38 +0900 (JST)

Received: from [109.86.164.213109.86.164.213] (helo=mustlovewine.com)

            by server1.commentspot.net with esmtpa (Exim 4.67)

            (envelope-from )

            id 1WqABD-0000h0-0r; Thu, 29 May 2014 16:56:15 -0700

Message-ID:

Received: from weissy.com (frequenciless-standing.volia.net [93.73.165.90])

            by websitetickets.com (Postfix) with ESMTPA id 34CA41DB2614;

            Thu, 29 May 2014 12:22:35 -0400 (EDT)

Message-ID:

 Yarix Security Operation Center
di Diego Marson - Yarix Security Manager 

Vedi anche: