14.10.2015 | 22:24

Adam Haertle

Alerty 2015-10-14 – Thomas, Poczta Polska

Specjaliści do spraw bezpieczeństwa spotykają się na konferencji Secure, a przestępcy nie próżnują i rozsyłają kolejne próby ataków na Wasze skrzynki. Próby – jak słyszymy – coraz mniej skuteczne, choć nadal setki osób instalują nieświadomie złośliwe oprogramowanie na swoich komputerach. Tym razem powraca Grupa Pocztowa, Thomas oraz ISFB – a to wszystko jednego tylko dnia.

Przedsądowe Wezwanie do Zapłaty

Treść wiadomości

Treść wiadomości

Od: „Kancelaria Duda & Partners” <[email protected]>

Data: 14 października 2015 16:44:06 CEST
Temat: Przedsądowe Wezwanie do Zapłaty

Szanowny Dłużniku!
Ze względu na niepłacone przez Ciebie zadłużenie względem naszego klienta,
nasza kancelaria „Duda & Partners” została zatrudniona aby uczynić wymagane kroki prawne do odzyskania wierzytelności na drodze Sądowej.
W imieniu naszego klienta prosimy o zapoznanie się z kopią Przedsądowego wezwania do zapłaty pod adresem:
http://adwokat-dokumentyonline.ignorelist.com/index.html?wyswietl=Przedsadowe_Wezwanie_Do_Zaplaty_NR_REF_eBturyWa
dokument ten będzie w przypadku dalszego zaniechania spłaty długu, podstawą do wszczęcia procesu cywilnego.
Oryginał pisma został przesłany przez naszą kancelarie listownie pod Twój adres zameldowania w dniu nadania wiadomości elektronicznej.

Z wyrazami Szacunku
adw. Jerzy Duda
Kancelaria Radców Prawnych „Duda & Partners”

Link z wiadomości:

http://adwokat-dokumentyonline.ignorelist.com/index.html?wyswietl=Przedsadowe_Wezwanie_Do_Zaplaty_NR_REF_eBturyWa

prowadzi do adresu

http://dokumenty-kancelaria-duda.5v.pl/?wyswietl=Przedsadowe%20wezwanie%20do%20zaplaty

który ładuje ramkę, grafikę i plik wykonywalny z adresów

http://vanschoot.pl/m1/index.html
http://vanschoot.pl/m1/output_NSsnZD.gif
http://vanschoot.pl/m1/Przedsadowe_Wezwanie_do_Zaplaty_PDF.com

Na serwerze vanschoot.pl (prawdopodobnie przejętym przez przestępcę) można było znaleźć indeks plików

Indeks plików

Indeks plików

a w nim między innymi skrypt prawdopodobnie użyty do rozsyłania wiadomości:

Skrypt do rozsyłania wiadomości

Skrypt do rozsyłania wiadomości

Plik wykonywalny:

  • Przedsadowe_Wezwanie_do_Zaplaty_PDF.com
  • MD5: a7feb9927ece3a4624d68802080d16e9
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja: 2015-10-14 20:02
  • C&C mivrosof.mooo.com

Jest to kampania analogiczna do opisanej przez nas dwa dni temu (Thomas). Co ciekawe, pliki z serwera vanschoot.pl zniknęły w trakcie opisywania ataku.

559469561 Informacja o twoim zamówieniu

Treść wiadomości

Treść wiadomości

From: 497 Poczta Polska [mailto:[email protected]] Sent: Wednesday, October 14, 2015 2:50 PM
Subject: 559469561 Informacja o twoim zamówieniu

Dzień dobry

Twoja paczka nie została doręczona pod adres wysyłki w dniu 8 pazdziernik 2015, ponieważ nikogo nie było w domu. Kliknij na link w celu otrzymania informacji dotycza cej twojej paczki w naszym serwisie. Odebrać przesyłkę możesz w dowolnym najbliższym biurze, pod warunkiem podania wydrukowanej informacji o przesyłce.

Dane dotyczšce twojej przesyłki

Z powazaniem,
Poczta Polska.

Jezeli ta wiadomosc Cie nie dotyczy, kliknij link, by zapobiec wykorzystaniu tego adresu e-mail.

Link prowadzi do strony

http://talkingscissors.com/wp-content/themes/agency-pro/system.php?id=27292555473991

która przekierowuje na

http://194.58.46.74/poczta_p/index2.php
Fałszywa strona poczty

Fałszywa strona poczty

Tam po prawidłowym (!) wypełnieniu kodu CAPTCHA otrzymamy plik

https://www.dropbox.com/s/ffr1iagnddc045j/pdf_informacja_o_dzialki_63ce88bf3ebeb46ec33bfe7f01277441.exe?dl=1

którego nazwa brzmi bardzo znajomo.

Plik wykonywalny:

  • pdf_informacja_o_dzialki_2c3e7b54326e31f0a530f1c75e6b9b3f.exe
  • MD5: a0b4f60c8bb02e38cfb9d8721f717281
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja: 2015-10-14 21:24

Plik przejawia charakterystyczne, nieznane nam wcześniej zachowanie, wysyłając wiele rozbudowanych żądań typu POST do trzech różnych serwerów (szczegóły w analizie Malwr.com w dziale Network):

  • http://ecestioneng.com/674/ptxk7cjdt/index.php
  • http://24.134.237.176:38472/IbgoROqCyGkdC=kdVyBSPcbaTAspwa
  • http://ecestioneng.com/vGMSriIIVJwfnB=NwCnYndJfUMj&mUnDBaKNGn=jAYwMMEOnMKN
  • http://87.152.130.43:38472/gsnEUrMOtBfEsRUyL=OpRRCQUuVoCfashaI&ScSaQdqSinLSwqdOP=JMJBLIXhJSyYhj&HukBLKUqdmXaD
  • http://24.134.237.176:38472/iHPBwMQNKKteqG=NxfoLXtXWmaxpuuMk&GRRvqWGDfavNRVbGM=IgwPUnPrgpmIH&JttKeFCwuQgurXAIo
  • http://ecestioneng.com/MkieLojrFnd=KIHlOwDVTQLYrRLOl
  • itp, itd.

Ta kampania przypomina działanie Grupy Pocztowej.

Fotki z rodzinnego albumu

Treść wiadomości

Treść wiadomości

 

Treść drugiego wariantu wiadomości

Treść drugiego wariantu wiadomości

Temat: Fotki z rodzinnego albumu

– znowu fotki cz.1

Od: [email protected]

Temat: Rezerwacja - fajnewczasy.pl (19277)

Rezerwacja - fajnewczasy.pl

Zapytanie w sprawie rezerwacji noclegu w obiekcie:

Liczba pokoi: 1

Plik wykonywalny:

  • zdjecie_obraz 109 JPG.zip / Rezerwacja_R99309693.zip
  • zdjecie_obraz 109 JPG.jpg.exe / Rezerwacja_R99305993.PDF.exe
  • MD5: 7e8fac9784bd8a75436e80c716ae94e5
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja:  2015-10-14 09:22

Ta kampania wygląda na podobną do opisywanej tutaj.

Na koniec jeszcze mały apel do Czytelników, którzy korzystają z naszych próbek i analiz - podeślijcie czasem coś ze swoich wyników analiz - na pewno się przyda.

Powrót

Komentarze

  • 2015.10.15 03:42 NN

    fajnewczasy.pl atakuje z botnetu bez RevDNSu – user który znajdzie to w skrzynce powinien zdymisjonować swojego postmastera.
    Sygnatury dla ClamAV:
    customsig.ndb
    Trojan.url.Thomas.20151014_1:4:*:2e69676e6f72656c6973742e636f6d2f696e646578
    Trojan.url.GrupaPocztowa.20151014_1:4:*:2f74616c6b696e6773636973736f72732e636f6d2f77702d636f6e74656e742f
    customsig.hdb
    7e8fac9784bd8a75436e80c716ae94e5:311004:20151014_1.ISFB.sometary_ru

    Odpowiedz
  • 2015.10.15 08:29 Marek

    Bardzo fajnie, ze robicie te podsumowania. Dzieki!
    (btw. moze dobrze by bylo zaczac je jakos tagowac i katalogowac dla latwego wyszukiwania w przyszlosci?)

    Odpowiedz
    • 2015.10.15 09:48 Adam

      Tag „alert” powinien działać, wkrótce uzupełnię brakujące.

      Odpowiedz
  • 2015.10.15 10:14 donkichote

    hxxp://vanschoot.pl/ już nie ma tych plików. Wygląda jakby czyściej.

    hxxp://adwokat-dokumentyonline.ignorelist.com/index.html?wyswietl=Przedsadowe_Wezwanie_Do_Zaplaty_NR_REF_eBturyWa
    prowadzi teraz do

    hxxp://adwokat-duda.dokumenty.co.vu/wyswietl/index.html?wyswietl=Przedsadowe_Wezwanie_Do_Zaplaty_NR_REF_eBturyWa

    a sam malware siedzi teraz tu:
    hxxp://adwokat-duda.dokumenty.co.vu/wyswietl/Przedsadowe_Wezwanie_do_Zaplaty_PDF.com

    taki mały update :)

    Odpowiedz
  • 2015.10.15 10:31 Marta

    Bardzo Wam dziękuję za kolejne ostrzeżenie :)

    Odpowiedz
  • 2015.10.15 11:03 Marcin

    Bardzo podobne „wezwanie” dostałem od „Adwokata Kwiatkowskiego”. Był tam podany nawet adres fizyczny kancelarii i nr tel. Niestety (dla spamera), świadom jestem, że kierunkowy do Łodzi to „42”, a nie „88”. I tak po nitce do kłębka, sprawdzenie na liście adwokatów itd., ale przyznam, że było blisko…

    Odpowiedz
  • 2015.10.15 11:38 beata

    Przed chwilą odebrałam korespondencję od „kancelaria „Duda & Partners”
    Zdziwił mnie fakt otrzymania informacji ale wcześniej sprawdziłam na Waszej stronie. Dzięki za ostrzeżenie :)

    Odpowiedz
    • 2015.10.15 12:36 Anna

      Ja też od razu sprawdzam na takich stronkach, jak ta, nim cokolwiek z poczty podejrzanej treści otworzę. Szczególnie gdy jesteśmy czyści, nie spodziewamy się wiadomości z kancelarii – po co otwierać? :)

      Odpowiedz
  • 2015.10.15 13:42 Janusz

    Czy wiadomość od kancelarii Duda&Partners jesli rozsyla maile to korzyska z kontaktów zaatakowanej skrzynki?

    Odpowiedz
  • 2015.10.15 15:18 Tomek

    Z ciekawości wrzuciłem jeden z plików do csi.websense.com

    Tak się prezentuje raport z wiadomości od Poczty Polskiej:
    http://csi.websense.com/ThreatScope/FileAnalysis?requestId=6da1dc45-2fb9-49b2-9d47-a53200662124

    Odpowiedz
  • 2015.10.15 16:37 Andrzej Korbycki

    Kliknąłem. W końcu Windows to bezpieczeństwo. Nie mam się czego bać.

    Odpowiedz
  • 2015.10.15 18:18 Janusz S

    Dzisiaj 3 maile – jeden z „kancelarii Duda & Partners” i 2 z „DHL”.
    To oststnio plaga. Nie ma dnia bez jakiegoś zainfekowanego maila..

    Odpowiedz
  • 2015.10.15 18:35 Agnieszka

    Witam, proszę o informację, czy muszę coś zrobić jeżeli otworzyłam wiadomość duda przesądów wezwanie.
    Z góry dziekuje

    Odpowiedz
  • 2015.10.16 11:39 Tomek

    Może to dziwne pytanie, ale jak trafić na listę dystrybucyjną takich maili?

    Odpowiedz

Zostaw odpowiedź do Janusz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alerty 2015-10-14 – Thomas, Poczta Polska

Komentarze