Dzisiaj dotarły do nas dwie próbki złośliwego oprogramowania i co ciekawe obie – choć znacząco różne – mają w temacie „zamówienie”. Jedna próbka to ciąg dalszy podszywania się pod Pocztę Polską, druga prawdopodobnie nawiązuje do wcześniejszych akcji z ISFB.
314881 Twoje zamówienie nie zostalo dostarczone
Data: Thu, 15 Oct 2015 17:45:25 +0200
Nadawca: 96256 Poczta Polska <[email protected]>
Dzień dobry
Kurier nie mógł dostarczyć przesyłkę w dniu 8 pazdziernik 2015, z
przyczyny, że nikogo nie było w domu. Kliknij na link w celu otrzymania
informacji dotycza cej twojej paczki w naszym serwisie. Musisz
wydrukować informacje dotycza ce przesyłki i zgłosić się do najbliższego
biura firmy.
*Dane dotyczące twojej przesyłki*
Z powazaniem,
Poczta Polska.
Link prowadzi do adresu
http://yasminqureshi.com/wp-content/plugins/easy-fancybox/system.php?id=56684751011091
który przekierowuje do
http://5.63.154.238/poczta_o/index2.php [aktualizacja - już wyłączone] http://194.58.119.232/poczta/index2.php [nadal działa] http://193.124.201.172/poczta/index2.php [nadal działa]
Tam z kolei uzupełnienie CAPTCHA pomaga w pobraniu pliku
https://www.dropbox.com/s/kcm2ouvqz8td0dc/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.exe?dl=1 [aktualizacja - już usunięte] https://www.dropbox.com/s/b7h6et7bzj3i9e5/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.zip?dl=1 [nowy link] https://www.dropbox.com/s/2st1ajnz41xhv24/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.zip?dl=1 [nowy link]
Plik wykonywalny:
- pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.exe
- MD5: 9f1f9645b7b37a28ef57c174e03f9599
- Virus Total
- Malwr.com
- Hybrid Analysis
- pierwsza obserwacja: 2015-10-15 20:37
- C&C: ecestioneng.com
- docelowy pobierany plik to ransomware
Atak wygląda na ciąg dalszy działań Grupy Pocztowej.
Prosze podpisac obie strony zamowienia i odeslac
Date: 10/15/2015 12:16 PM
Subject: Prosze podpisac obie strony zamowienia i odeslac
Witam ,
Jak w temacie.
Proszę podpisać obie strony zamówienia i odesłać
Pozdrawiam
Sławek
- 151015_01_02.PDF.zip /Faktura_PRO_Forma_wg_zam._nr___15.zip
- 151015_01_02.PDF~.exe / Faktura_PRO_Forma_wg_zam._nr___15.pdf
- MD5: 17ec0ad296b418cd2e9da00e07037320
- Virus Total
- Malwr.com
- Hybrid Analysis
- pierwsza obserwacja: 2015-10-15 09:49
- prawdopodobnie ISFB znany z ostatnich kampanii
Komentarze
Teraz będziecie wrzucać każdy mail jako osobny wpis?
Adam pewnie napisałby, że jak nie pasi to sam pisz i wrzucaj :v
Nudy.
Pomysłowość Polaków nie zna granic :)
Bardzo dobrze jak się da to trzeba sobie jakoś radzić.
Czemu służy captcha na tej stronie?
…uwiarygodnieniu, formularz nie może być zbyt prosty.
Ale na oryginalnej stronie poczty nie ma captcha.
Temu, zeby crawlery firm AV miały untrudnione zadanie żeby pobrać plik do analizy.
Sygnatury ClamAV:
customsig.ndb
Trojan.url.GrupaPocztowa.20151015_1:4:*:7961736d696e717572657368692e636f6d2f77702d636f6e74656e742f
customsig.hdb
17ec0ad296b418cd2e9da00e07037320:334315:20151015_1.ISFB.sometary_ru
9f1f9645b7b37a28ef57c174e03f9599:243426:20151015_1.GrupaPocztowa.ecestioneng_com
Jeszcze nie dostałem ani jednego maila o którym piszecie, ale przeglądając wasz rss czuję się jakbym był zasypywany spamem… Wiem, że to fajny patent zapchać bloga wpisami – jeden mail – jeden wpis – proste, łatwe, każdy mail to trochę konwersji, kilka odsłon. Niby coś się dzieje, etc – ale czy naprawdę? Temat trochę przechodzony jest. Raz na miesiąc/kwartał może?
czyli mamy czekać do końca tygodnia aby poinformować o tym co było w bieżącym?
Ja rozumiem, że pewnie wszyscy chcieliby byśmy w poniedziałek pisali co będzie atakować do końca tygodnia, ale to póki co nierealne. Staramy się jak najszybciej poinformować jak największe grono o istniejących atakach, tak – by może niektórych od nich uchronić.
I tak – Nie ma za co.
Bardziej mi chodzi o monotonię tego – kolejny artykuł o nabieraniu kogoś na otwarcie pliku, w zasadzie jest kolejnym artykułem o nabieraniu kogoś na otwarcie pliku.
Na 23 posty na stronie głównej 10 dotyczy tego tematu.
To że plik inaczej się nazywa lub atakujący tym razem wybrał inny kolor tła w mailu nie powoduje, że to jakaś nowość w stosunku do poprzedniego…
Eeee tak źle napisane że tylko sekretarki by się nabrały
I o to chodzi. Łapiesz przyczółek u sekretarki, chowasz się między Pasjansem a Wordem i spokojnie działasz dalej…
Czy tu jeszcze ktoś potrafi coś sam zdebugować a nie tylko wrzucić na Virustotal czy HybridAnal ?
Jak potrafisz to podziel się z nami swoim czasem, wiedzą i umiejętnościami zamiast tracić energię na mądre komentarze.
No i git. Osobny dział 'alert’ zamknie dyskusję o sensowności publikowania monotonnych newsów na głównej.