01.10.2015 | 16:29

Adam Haertle

Alerty 2015-10-01 – faktury, windykacje

W dzisiejszym wydaniu krótko opisujemy ataki z ostatnich 2 dni. Koniec tygodnia wydaje się być pod tym względem dużo spokojniejszy, odnotowaliśmy jedynie 2 nowe kampanie, prawdopodobnie wysyłane przez tych samych autorów, o których piszemy regularnie od początku września.

Faktura VAT i cztery pliki EXE

Fałszywa faktura

Fałszywa faktura

Treść wiadomości:

Temat: FV K/408/29/2015
Data: Mon, Wed, 30 Sep 2015 14:49:33 +0200
Nadawca: Andrzej Wyszynski <[email protected]>

Drodzy Panstwo, w nazwiazaniu do rozmowy telefonicznej z poniedzialku, tj. 29/09, przesylam fakture VAT do rozliczenia.

Haslo do faktury to: fakturownia


Andrzej Wyszynski

URS Office
Zablocka 81/3
01-024 Warszawa

Wariant 2:

Temat: wezwanie do zaplaty, windykacja
Data: Thu, 1 Oct 2015 14:56:34 +0200

Szanowni Panstwo,

Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty oraz ewentualna propozycje ugody.

Haslo do zalacznika: windykacja


Szymon Terecinski
Kancelaria Faliata S.A.
50-003 Wroclaw

W załączniku:

  • FS_VAT_29_2015.pdf.7z
  • FS_VAT_29_2015.pdf.scr
  • MD5: b5fde6f450aa0c74b13ad7c03d7bb848
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-30 10:18

Inny wariant pliku to windykator_nr_9684.pdf.scr. Sam plik dość łatwo poddał się analizie, dzięki czemu mogliśmy ustalić, że:

  • jest to klient botnetu Andromeda
  • serwer C&C to http://46.151.53.40/bazingamasterchef/gate.php (który dobrze znamy)
  • łączy się także z serwerem http://81.4.122.238
  • pobiera z niego pliki banana.exe, language.exe i netstats.exe

Serwer 81.4.122.238 ma dość ciekawą historię – na przykład można było wcześniej znaleźć na nim takie pliki jak:

Krótka analiza pobranych plików:

banana.exe:

  • prawdopodobnie aktualizacja Andromedy
  • MD5 c4c6f084be83f67d67c128ccd06e51ca
  • inne nazwy FR VAT_30_2015.pdf.scr, windykacja_nr_803.pdf.scr
  • Virus Total
  • Malwr.com
  • pierwsza obserwacja 2015-10-01 12:20
  • C&C http://46.151.53.40/bazingamasterchef/gate.php

language.exe

netstats.exe

Praca magisterska

Druga kampania wydaje się dużo prostsza.

Fałszywa praca magisterska

Fałszywa praca magisterska

Temat: RE: praca mgr

Dzień dobry. w załączeniu przesyłam pracę mgr. nie chciałam wycinać samego rozdziału omówienie wyników i dyskusja dlatego przesyłam całą pracę jaką mam. pozdrawiam

W załączniku:

Dziękujemy osobom, które nadesłały próbki. Czekamy jeszcze na kontakt ze strony autorów kampanii.

Powrót

Komentarze

  • 2015.10.01 16:54 Jakub

    Ja u siebie dostałem taką wiadomość:the copy is sent to you
    z plikiem:
    PDF_7689626593187.DOC.zip

    Virustotal nic nie wykrywa,ale nod32 tak.

    Odpowiedz
  • 2015.10.01 17:41 Daniel

    Ciekawostka: na serwer mailowy mojego koła naukowego ten i podobny spam przychodzi na skrzynkę root’a (oczywiście nigdzie takowego adresu nie publikowaliśmy).

    Odpowiedz
  • 2015.10.01 20:39 Andrzej Buse

    Wszystkie te ataki sa przykladem, ze dzis za pare pln mozna na tzw darknecie kupic wszystko i zostac chakerem majac osiem klas gimnazjum/podstawowki czy jak to sie tam teraz nazywa.

    Odpowiedz
    • 2015.10.02 05:52 AbdulAlkaida

      a tam w darknecie ja znam kilka innych zacnych miejsc gdzie można zostać hakerĘ za wazelinę i amoralność posiadając zerową wiedzę popartą dyplomami ;D

      Odpowiedz
  • 2015.10.01 20:49 o,oe

    tyle eszelonów, tyle lodołamaczy, a nie potrafia wydac nakazu/zakazu/srakazu czy zrótować maszyn? no we. mistaszimomura. kunfudabest.

    Odpowiedz
  • 2015.10.02 08:30 jacek

    otrzymaøem jakies wezwanie do zaplaty,odpisalem na maila ale oczywiscie mail nie doszedl,niby od kancelarii Faliata szymon terecinski

    Odpowiedz
  • 2015.10.02 08:37 Ryszard

    A ja dostałem wczoraj coś takiego :
    Szanowni Panstwo,

    Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty oraz ewentualna propozycje ugody.

    Haslo do zalacznika: windykacja


    Szymon Terecinski
    Kancelaria Faliata S.A.
    50-003 Wroclaw

    do tego jest załącznik :
    windykacja_nr_803.pdf.7z

    Odpowiedz
    • 2015.10.02 10:30 hmmm

      Mialem to samo, ale plik nie dal sie wypakowac, bo 7zip pokazywal blad.

      Odpowiedz
  • 2015.10.02 09:10 Marek

    Btw. ciekawostka z nagłówka tego maila z FR VAT_30_2015.pdf.7z (mail w takiej formie jak na pierwszym screenie)

    X-HTTP-Posting-URI: http://bazarowicz.nazwa.pl:80/max.php
    X-HTTP-Client: 194.29.183.83

    inetnum: 194.29.180.0 – 194.29.183.255
    netname: CITYMEDIA-OPOLE-PL

    Odpowiedz
  • 2015.10.02 11:40 Mik3sz

    Od wczoraj wielu klientow Orange dostaje maile z adresu: [email protected] zawiera link kierujacy na strone orange.dokumenty.co.vu Niestety nie udalo mi sie jeszcze zdobyc pelnego maila z mime a PDF podpiety pod link nie otwiera sie.
    Pelen przykladowy link:

    orange.dokumenty.co.vu/wyswietl-fakture/FWL90599170-001-15.PDF

    domena – orange.pl nie jest uzywana do wysylania oficjalnych maili

    Pozdro

    Mik3sz

    Odpowiedz
  • 2015.10.02 13:57 Roman

    Tez ostatnio (2.10.) dostałem z adresu [email protected] wyżej prezentowaną wiadomość spakowaną RAR „windykacja_nr_803.pdf.7z” (74,9kB) od
    Szymon Terecinski
    Kancelaria Faliata S.A.
    50-003 Wrocław.
    „Szanowni Państwo,
    Ze względu na brak spłaty zadłużenia przesyłamy przedsądowe wezwanie do zapłaty oraz ewentualna propozycje ugody.
    Hasło do załącznika: windykacja ”

    Oczywiście nie otwierałem, wiadomość idzie do utylizacji, ale mogę przesłać jeśli Wam potrzebna..
    Pzdr,
    Roman

    Odpowiedz
  • 2015.10.02 15:12 NN

    Return-path: [email protected]
    Received: from aop80.rev.netart.pl ([85.128.250.80])
    X-HTTP-Posting-URI: http://kamilenko.nazwa.pl:80/security.php
    X-HTTP-Client: 89.71.157.149

    1e25c90138e41f1a9052fca225fb5392 FR VAT_658_01_2015.pdf.7z
    https://www.virustotal.com/en/file/1840ec820e5ea8ce4c81bfb672950a77d4da54ce3d22d9904f0a3594b5178256/analysis/1443789704/

    66f1324945bdc61486187b006d83114f FR VAT_56_01_2015.pdf.scr
    https://www.virustotal.com/en/file/d6274d12883b3c3ebf383263f96f21ccbd41d7f9c1cd84721956b9641ae266af/analysis/1443789854/
    https://malwr.com/analysis/MDhjMzE5NDUzNTViNGM3N2IxZDI3NmZiNDcyNzY2NjY/

    @zts: Umieszczajcie nazwy hostów z których przypełzła zaraza – wiem, szkolenia, kasa itp. ale myślę że warto, tj. userzy (postmasterzy) będą wdzięczni ;)

    Odpowiedz
  • 2015.10.07 13:58 Rysio

    A ja wlasnie dostalem cos takiego:

    Szanowni Panstwo,

    Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.

    Haslo do zalacznika: przedsadowka2015


    Grzegorz Osinski
    Osinski-Windykacja
    ul. Beneszka 83/1
    70-760 Szczecin

    z adresu [email protected], temat: osinski-windykacja, wezwanie do zaplaty
    W srodku spakowany 7zipem plik ***.pdf.scr
    (wpisuje gwiazdki, bo nie pamietam tytulu, a nie chce tego sprawdzac/dotykac on-line.)

    Wczesniej (pare mesiecy) dostalem tez cos o zaleglej fakturze od jakiejs firmy…

    Odpowiedz
    • 2015.10.07 14:02 Rysio

      poprawka, podany adres wyswietla sie na liscie maili, w naglowku bylo Received: from tlumaczeniab.nazwa.pl

      Odpowiedz
    • 2015.10.08 14:45 Wojtek

      Dostałem dokładnie to samo …
      Nie otwierać .

      Odpowiedz
  • 2015.10.07 17:48 Tomek

    Mialem dziś podobny atak:

    Szanowni Panstwo,

    Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do
    zaplaty.

    Haslo do zalacznika: przedsadowka2015


    Grzegorz Osinski
    Osinski-Windykacja
    ul. Beneszka 83/1
    70-760 Szczecin

    Niestety wpisalem hasło, symantec zablokował wypakowanie pliku. Teraz blokuje ruch z domeny 46.151.53.40 i wyświetla komunikat System Infected: Downloader.Dromedan Activity 11

    Usunąlem ściągnięty plik, co mogę jeszcze zrobić? Z góry dziękuję za pomoc,

    pozdrawiam
    Tomek

    Odpowiedz

Zostaw odpowiedź do Tomek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alerty 2015-10-01 – faktury, windykacje

Komentarze