W dzisiejszym wydaniu krótko opisujemy ataki z ostatnich 3 dni. Choć w sumie odnotowaliśmy 7 różnych wiadomości i 6 różnych plików, to wygląda to na jedynie 4 różne kampanie.
Faktura do zapłaty
Fałszywa faktura
Inny wariant:
Data: Mon, 28 Sep 2015 15:13:21 +0200
Nadawca: Joanna Baltycka <[email protected]>
Drodzy Panstwo,
Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.
Haslo do zalacznika: windykacja101
—
Joanna Baltycka
Kancelaria Stradom S.A.
Al. Ksiecia Augusta 2
40-004 Katowice
W załączniku:
- windykacja_nr_sprawy_5838.pdf.7z
- windykacja_nr_sprawy_5838.pdf.scr
- MD5: ecf3bc9ac0f54f772184bd4a559a87f6
- Virus Total
- Hybrid Analysis
- pierwsza obserwacja 2015-09-28 16:05
Inny wariant:
Bardzo prosze o informacje czy ta faktura byla juz oplacona, a jesli tak to kiedy poniewaz nie odnotowalismy wplaty.
Haslo: zalegla
—
Piotr Lewicki
ul. Przasnyska 11/U1B
01-756 Warszawa
W załączniku:
- Faktura VAT_6587.pdf.7z
- Faktura VAT_6587.pdf.scr
- MD5: 1ffa5007ae52d818baaaaf44f70757cf
- Virus Total
- Hybrid Analysis
- pierwsza obserwacja 2015-09-28 10:43
Dostawa
Fałszywa dostawa
>
>
> —
> Pozdrowienia:)
W załączniku:
- Dostawa_Visual FoxPro_118.zip
- Dostawa_Visual FoxPro_118.pdf.exe
- MD5: 9c1fddcb61ede177771cac678cb8b6e1
- Virus Total
- Hybrid Analysis
- pierwsza obserwacja 2015-09-29 09:58
Tajemniczy bilet
To najprawdopodobniej inny wariant kampanii z „dostawą” (podobna wiadomość, podobne złośliwe oprogramowanie w załączniku).
> Pozdrawiam,
>
> Doradca Klienta
W załączniku:
- BILET W.2015-09-28.oxps.zip
- BILET W.2015-09-28.oxps .exe
- MD5: 0f04cb311ed970dc5ed005fe96a015e7
- Virus Total
- Hybrid Analysis
- pierwsza obserwacja 2015-09-29 11:20
Poczta Polska
Poczta Polska
Temat: 13674 Informacja o twoim zamówieniu
Informacja!
Twoja paczka nie została doręczona pod adres wysyłki w dniu 24 wrzesnia 2015, ponieważ nikogo nie było w domu. Kliknij podany link, żeby otrzymać informacje dotycza ce twojego zamówienia na naszej stronie internetowej. Wydrukuj informacje dotyczące paczki, niezbędne do jej odbioru w najbliższym biurze naszej firmy.
Wydrukuj dane dotycza ce twojej przesyłki
Uwaga!
W razie jeżeli zamówienie nie zostanie odebrane w okresie 30 dniu, firma nalicza opłatę z tytułu przechowywania. Szczegółowe informacje o przechowywaniu oraz pobieranych opłatach znajdziesz na naszej stronie internetowej.
Z powazaniem,
Poczta Polska.
Link prowadził do witryny
http://gagangoyal.in/images/backgrounds/system.php?id=xxxx,
stamtąd przekierowywał na
http://194.58.43.169/poczta-polska/index.php
Tam z kolei czekał plik EXE, którego niestety nie udało się nam już pobrać. Jeśli ktoś załapał, to poprosimy.
Fotki z imprezy
Fałszywe fotki
Witam !
Przesyłam fotki z ostatniej imprezy
Mam nadzieje, że sie nie przerazisz !! hahahah
Link do pobrania fotek : http://host1gb.net.pl/dl.php?file=f0f3aece02235374576db7fbaad4da68
Pozdrawiam Roman
Plik z linka (swoja drogą proponujemy odwiedzić i zgłosić naruszenie regulaminu hostingu):
- Fotki DSC000455 DSC000456.scr
- MD5: f0f3aece02235374576db7fbaad4da68
- Virus Total (0/55!)
- Hybrid Analysis
- pierwsza obserwacja 2015-09-30 11:23
- C&C kris-krill.ddns.net
Podsumowanie
Dziękujemy wszystkim osobom podsyłającym próbki. Bardzo nam miło, że Wasi pracownicy nie dają się złapać na sztuczki przestępców i prawidłowo rozpoznają ataki. Pokażcie im powyższe wiadomości – może dzięki temu prawidłowo rozpoznają te, które zostaną wysłane jutro.
PS. Zawsze możecie ich także profesjonalnie przeszkolić.
Komentarze
I teraz na wszystkich, ktorzy byli na jakiejs imprezie z Romanem i urwal im sie film padl blady strach :D
>.pdf.scr
Na takie triki to gimbusy w Tibii w 2004 roku się nie nabierały.
Jesli akurat zamówiłes coś w sieci czekasz na paczkę, lub kupiłeś bilet na koncert, lub kupiłeś na fakture coś…to klikniesz bez wiekszego zastanowienia, wyslą tysiace emali jakas cześc sie załapie
Jeśli nie ufasz samemu sobie, to zawsze możesz tak:
\HKEY_CLASSES_ROOT\.scr -> usuń
I jeszcze \HKEY_CLASSES_ROOT\scrfile :]
U mnie w firmie edukacja przyniosła skutek. Nikt nie otworzył „faktury”, a telefon mi się urywał od zgłoszeń, że to chyba wirus.
Ciągle słabe zabezpieczenia serwerów pocztowych, skoro w ogóle przechodzą e-maile tego typu – zwłaszcza z załącznikami typu *.exe i *.scr.
Dostalem cos podobnego. Spakowane z haslem. Probowalem to rozpakowac na koncie goscia zeby sprawdzic czy antywirus juz to wykrywa, ale 7zip pokazal blad ze nie moze otworzyc pliku… I teraz sie zastanawiam, czy plik byl uszkodzony, czy zostalem zainfekowany pomimo ze pliku nie otwieralem, a jedynie wypakowywalem i to na koncie goscia.
Zauwazylem tez ze 7zip wymagal hasla juz przy samym otwarciu archiwum, a nie dopiero przy probie rozpakowywania. Czy to mozliwe zeby plik w archiwum mial jakiegos autoruna?