30.09.2015 | 11:51

Adam Haertle

Alerty 2015-09-30 – dostawy, bilety, fotki

W dzisiejszym wydaniu krótko opisujemy ataki z ostatnich 3 dni. Choć w sumie odnotowaliśmy 7 różnych wiadomości i 6 różnych plików, to wygląda to na jedynie 4 różne kampanie.

Faktura do zapłaty

Kopia wiadomości

Fałszywa faktura

Inny wariant:

Temat: faktura do zaplaty
Data: Mon, 28 Sep 2015 15:13:21 +0200
Nadawca: Joanna Baltycka <[email protected]>
Drodzy Panstwo,

Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.

Haslo do zalacznika: windykacja101


Joanna Baltycka
Kancelaria Stradom S.A.
Al. Ksiecia Augusta 2
40-004 Katowice

W załączniku:

  • windykacja_nr_sprawy_5838.pdf.7z
  • windykacja_nr_sprawy_5838.pdf.scr
  • MD5: ecf3bc9ac0f54f772184bd4a559a87f6
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-28 16:05

Inny wariant:

Temat: faktura do oplaty
Bardzo prosze o informacje czy ta faktura byla juz oplacona, a jesli tak to kiedy poniewaz nie odnotowalismy wplaty.

Haslo: zalegla

Piotr Lewicki
ul. Przasnyska 11/U1B
01-756 Warszawa

W załączniku:

  • Faktura VAT_6587.pdf.7z
  • Faktura VAT_6587.pdf.scr
  • MD5: 1ffa5007ae52d818baaaaf44f70757cf
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-28 10:43

Dostawa

Fałszywa dostawa

Fałszywa dostawa

Temat: FWD: Dostawa 01.10.15 czwartek, tel. 694 698 468, faktura

>
>
> —
> Pozdrowienia:)

W załączniku:

  • Dostawa_Visual FoxPro_118.zip
  • Dostawa_Visual FoxPro_118.pdf.exe
  • MD5: 9c1fddcb61ede177771cac678cb8b6e1
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-29 09:58

Tajemniczy bilet

To najprawdopodobniej inny wariant kampanii z „dostawą” (podobna wiadomość, podobne złośliwe oprogramowanie w załączniku).

Temat: Fwd: bilet
> Pozdrawiam,
>
> Doradca Klienta

W załączniku:

  • BILET W.2015-09-28.oxps.zip
  • BILET W.2015-09-28.oxps .exe
  • MD5: 0f04cb311ed970dc5ed005fe96a015e7
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-29 11:20

Poczta Polska

Poczta Polska

Poczta Polska

Od: [email protected]

Temat: 13674 Informacja o twoim zamówieniu

Informacja!
Twoja paczka nie została doręczona pod adres wysyłki w dniu 24 wrzesnia 2015, ponieważ nikogo nie było w domu. Kliknij podany link, żeby otrzymać informacje dotycza ce twojego zamówienia na naszej stronie internetowej. Wydrukuj informacje dotyczące paczki, niezbędne do jej odbioru w najbliższym biurze naszej firmy.

Wydrukuj dane dotycza ce twojej przesyłki

Uwaga!
W razie jeżeli zamówienie nie zostanie odebrane w okresie 30 dniu, firma nalicza opłatę z tytułu przechowywania. Szczegółowe informacje o przechowywaniu oraz pobieranych opłatach znajdziesz na naszej stronie internetowej.

Z powazaniem,
Poczta Polska.

Link prowadził do witryny

http://gagangoyal.in/images/backgrounds/system.php?id=xxxx,

stamtąd przekierowywał na

http://194.58.43.169/poczta-polska/index.php

Tam z kolei czekał plik EXE, którego niestety nie udało się nam już pobrać. Jeśli ktoś załapał, to poprosimy.

Fotki z imprezy

Fałszywe fotki

Fałszywe fotki

Temat: Fotki z imprezy !!
Witam !

Przesyłam fotki z ostatniej imprezy

Mam nadzieje, że sie nie przerazisz !! hahahah

Link do pobrania fotek : http://host1gb.net.pl/dl.php?file=f0f3aece02235374576db7fbaad4da68

Pozdrawiam Roman

Plik z linka (swoja drogą proponujemy odwiedzić i zgłosić naruszenie regulaminu hostingu):

  • Fotki DSC000455 DSC000456.scr
  • MD5: f0f3aece02235374576db7fbaad4da68
  • Virus Total (0/55!)
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-30 11:23
  • C&C kris-krill.ddns.net

Podsumowanie

Dziękujemy wszystkim osobom podsyłającym próbki. Bardzo nam miło, że Wasi pracownicy nie dają się złapać na sztuczki przestępców i prawidłowo rozpoznają ataki. Pokażcie im powyższe wiadomości – może dzięki temu prawidłowo rozpoznają te, które zostaną wysłane jutro.

PS. Zawsze możecie ich także profesjonalnie przeszkolić.

Powrót

Komentarze

  • 2015.09.30 12:03 mirek

    I teraz na wszystkich, ktorzy byli na jakiejs imprezie z Romanem i urwal im sie film padl blady strach :D

    Odpowiedz
  • 2015.09.30 18:00 iaej

    >.pdf.scr
    Na takie triki to gimbusy w Tibii w 2004 roku się nie nabierały.

    Odpowiedz
    • 2015.09.30 20:51 Roman

      Jesli akurat zamówiłes coś w sieci czekasz na paczkę, lub kupiłeś bilet na koncert, lub kupiłeś na fakture coś…to klikniesz bez wiekszego zastanowienia, wyslą tysiace emali jakas cześc sie załapie

      Odpowiedz
      • 2015.10.01 12:36 wat

        Jeśli nie ufasz samemu sobie, to zawsze możesz tak:

        \HKEY_CLASSES_ROOT\.scr -> usuń

        Odpowiedz
        • 2015.10.01 12:37 wat

          I jeszcze \HKEY_CLASSES_ROOT\scrfile :]

          Odpowiedz
  • 2015.09.30 22:11 mig

    U mnie w firmie edukacja przyniosła skutek. Nikt nie otworzył „faktury”, a telefon mi się urywał od zgłoszeń, że to chyba wirus.

    Odpowiedz
  • 2015.10.01 10:20 schwert

    Ciągle słabe zabezpieczenia serwerów pocztowych, skoro w ogóle przechodzą e-maile tego typu – zwłaszcza z załącznikami typu *.exe i *.scr.

    Odpowiedz
  • 2015.10.01 16:06 hmmm

    Dostalem cos podobnego. Spakowane z haslem. Probowalem to rozpakowac na koncie goscia zeby sprawdzic czy antywirus juz to wykrywa, ale 7zip pokazal blad ze nie moze otworzyc pliku… I teraz sie zastanawiam, czy plik byl uszkodzony, czy zostalem zainfekowany pomimo ze pliku nie otwieralem, a jedynie wypakowywalem i to na koncie goscia.
    Zauwazylem tez ze 7zip wymagal hasla juz przy samym otwarciu archiwum, a nie dopiero przy probie rozpakowywania. Czy to mozliwe zeby plik w archiwum mial jakiegos autoruna?

    Odpowiedz

Zostaw odpowiedź do hmmm

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alerty 2015-09-30 – dostawy, bilety, fotki

Komentarze