15.10.2015 | 22:51

Adam Haertle

Alerty 2015-10-15 – Poczta Polska, ISFB

Dzisiaj dotarły do nas dwie próbki złośliwego oprogramowania i co ciekawe obie – choć znacząco różne – mają w temacie „zamówienie”. Jedna próbka to ciąg dalszy podszywania się pod Pocztę Polską, druga prawdopodobnie nawiązuje do wcześniejszych akcji z ISFB.

314881 Twoje zamówienie nie zostalo dostarczone‏

Treść wiadomości

Treść wiadomości

Temat: 314881 Twoje zamówienie nie zostalo dostarczone
Data: Thu, 15 Oct 2015 17:45:25 +0200
Nadawca: 96256 Poczta Polska <[email protected]>

Dzień dobry

Kurier nie mógł dostarczyć przesyłkę w dniu 8 pazdziernik 2015, z
przyczyny, że nikogo nie było w domu. Kliknij na link w celu otrzymania
informacji dotycza cej twojej paczki w naszym serwisie. Musisz
wydrukować informacje dotycza ce przesyłki i zgłosić się do najbliższego
biura firmy.

*Dane dotyczące twojej przesyłki*

Z powazaniem,
Poczta Polska.

Link prowadzi do adresu

http://yasminqureshi.com/wp-content/plugins/easy-fancybox/system.php?id=56684751011091

który przekierowuje do

http://5.63.154.238/poczta_o/index2.php [aktualizacja - już wyłączone]
http://194.58.119.232/poczta/index2.php [nadal działa]
http://193.124.201.172/poczta/index2.php [nadal działa]

Tam z kolei uzupełnienie CAPTCHA pomaga w pobraniu pliku

https://www.dropbox.com/s/kcm2ouvqz8td0dc/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.exe?dl=1 [aktualizacja - już usunięte]
https://www.dropbox.com/s/b7h6et7bzj3i9e5/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.zip?dl=1 [nowy link]
https://www.dropbox.com/s/2st1ajnz41xhv24/pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.zip?dl=1 [nowy link]

Plik wykonywalny:

  • pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.exe
  • MD5: 9f1f9645b7b37a28ef57c174e03f9599
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja: 2015-10-15 20:37
  • C&C: ecestioneng.com
  • docelowy pobierany plik to ransomware

Atak wygląda na ciąg dalszy działań Grupy Pocztowej.

Prosze podpisac obie strony zamowienia i odeslac

 
From:[email protected]
Date: 10/15/2015 12:16 PM
Subject: Prosze podpisac obie strony zamowienia i odeslac
Witam ,
Jak w temacie.
Proszę podpisać obie strony zamówienia i odesłać
Pozdrawiam
Sławek
Plik wykonywalny:
  • 151015_01_02.PDF.zip /Faktura_PRO_Forma_wg_zam._nr___15.zip
  • 151015_01_02.PDF~.exe / Faktura_PRO_Forma_wg_zam._nr___15.pdf
  • MD5: 17ec0ad296b418cd2e9da00e07037320
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja: 2015-10-15 09:49
  • prawdopodobnie ISFB znany z ostatnich kampanii
Powrót

Komentarze

  • 2015.10.15 23:00 dede

    Teraz będziecie wrzucać każdy mail jako osobny wpis?

    Odpowiedz
    • 2015.10.15 23:31 root ger

      Adam pewnie napisałby, że jak nie pasi to sam pisz i wrzucaj :v

      Odpowiedz
  • 2015.10.15 23:39 uiebu

    Nudy.

    Odpowiedz
  • 2015.10.15 23:52 XYZ

    Pomysłowość Polaków nie zna granic :)
    Bardzo dobrze jak się da to trzeba sobie jakoś radzić.

    Odpowiedz
  • 2015.10.16 00:42 e

    Czemu służy captcha na tej stronie?

    Odpowiedz
    • 2015.10.16 07:55 misc

      …uwiarygodnieniu, formularz nie może być zbyt prosty.

      Odpowiedz
      • 2015.10.16 09:19 e

        Ale na oryginalnej stronie poczty nie ma captcha.

        Odpowiedz
    • 2015.10.16 11:02 Marcin

      Temu, zeby crawlery firm AV miały untrudnione zadanie żeby pobrać plik do analizy.

      Odpowiedz
  • 2015.10.16 06:40 NN

    Sygnatury ClamAV:
    customsig.ndb
    Trojan.url.GrupaPocztowa.20151015_1:4:*:7961736d696e717572657368692e636f6d2f77702d636f6e74656e742f
    customsig.hdb
    17ec0ad296b418cd2e9da00e07037320:334315:20151015_1.ISFB.sometary_ru
    9f1f9645b7b37a28ef57c174e03f9599:243426:20151015_1.GrupaPocztowa.ecestioneng_com

    Odpowiedz
  • 2015.10.16 08:44 qwerty

    Jeszcze nie dostałem ani jednego maila o którym piszecie, ale przeglądając wasz rss czuję się jakbym był zasypywany spamem… Wiem, że to fajny patent zapchać bloga wpisami – jeden mail – jeden wpis – proste, łatwe, każdy mail to trochę konwersji, kilka odsłon. Niby coś się dzieje, etc – ale czy naprawdę? Temat trochę przechodzony jest. Raz na miesiąc/kwartał może?

    Odpowiedz
    • 2015.10.16 09:16 Marcin Rybak

      czyli mamy czekać do końca tygodnia aby poinformować o tym co było w bieżącym?
      Ja rozumiem, że pewnie wszyscy chcieliby byśmy w poniedziałek pisali co będzie atakować do końca tygodnia, ale to póki co nierealne. Staramy się jak najszybciej poinformować jak największe grono o istniejących atakach, tak – by może niektórych od nich uchronić.
      I tak – Nie ma za co.

      Odpowiedz
      • 2015.10.16 14:16 qwerty

        Bardziej mi chodzi o monotonię tego – kolejny artykuł o nabieraniu kogoś na otwarcie pliku, w zasadzie jest kolejnym artykułem o nabieraniu kogoś na otwarcie pliku.

        Na 23 posty na stronie głównej 10 dotyczy tego tematu.

        To że plik inaczej się nazywa lub atakujący tym razem wybrał inny kolor tła w mailu nie powoduje, że to jakaś nowość w stosunku do poprzedniego…

        Odpowiedz
  • 2015.10.16 08:58 maslan

    Eeee tak źle napisane że tylko sekretarki by się nabrały

    Odpowiedz
    • 2015.10.16 10:12 Lukasz

      I o to chodzi. Łapiesz przyczółek u sekretarki, chowasz się między Pasjansem a Wordem i spokojnie działasz dalej…

      Odpowiedz
  • 2015.10.16 13:30 Stary assembler

    Czy tu jeszcze ktoś potrafi coś sam zdebugować a nie tylko wrzucić na Virustotal czy HybridAnal ?

    Odpowiedz
    • 2015.10.16 14:08 Adam

      Jak potrafisz to podziel się z nami swoim czasem, wiedzą i umiejętnościami zamiast tracić energię na mądre komentarze.

      Odpowiedz
  • 2015.10.16 18:45 czesio

    No i git. Osobny dział 'alert’ zamknie dyskusję o sensowności publikowania monotonnych newsów na głównej.

    Odpowiedz

Zostaw odpowiedź do NN

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alerty 2015-10-15 – Poczta Polska, ISFB

Komentarze