25.11.2015 | 15:12

Adam Haertle

Alert: Pańskiej firmie pryznany audyt

Tym razem skrzynki atakuje wiadomość nieudolnie udająca komunikat od firmy audytorskiej.

Fałszywa wiadomość

Fałszywa wiadomość

Temat: Pańskiej firmie pryznany finansowy audyt

Treść:

Szanowni Państwo,
Zgodnie z zawartą między nami dnia 19.11.2015 umową dotyczącą przeprowadzenia w Państwa firmie audytu finansowego, wysyłamy kopię umowy.Będziemy gotowi do przystąpienia do pracy od przyszłego tygodnia w jakimkolwiek dogodnym dla Państwa terminie.

Dziękuję za uwagę,

Beata Petrova

PwC Audit
Warszawa
International Business Center
Al. Armii Ludowej 14
00-638 Warszawa
Tel.: +48 22 747 4100
Fax: +48 22 747 4140

Złośliwy plik:

  • archiwum audit_umova.z
  • w środku plik o nazwie audit_umova.exe.pdf (Uwaga! Przez sztuczkę LTR tak wygląda plik, choć nazwa prawdziwa to audit_umova.fdp.exe)
  • MD5: 7d93c5cbd11087f93920d9b6da7dcd2a
  • Virus Total, Malwr.com, Hybrid Analysis
  • plik zawiera konia trojańskiego ISFB
  • C&C: agreylux.com

 

Powrót

Komentarze

  • 2015.11.25 15:32 MatM

    Pojawia się pytanie, czy nie ma lepszej metody na określenie typu pliku niż bezkrytyczne zaufanie znakom po kropce (aka rozszerzeniu)? Spotkałem się z argumentem, że analizowanie zawartości pliku może być jeszcze bardziej niebezpieczne bo plik musi być odczytany przez analizujący go program a ten z kolei może być dziurawy itp. No ale jednak ufanie kliku znakom w nazwie jak widać takie bezpieczne nie jest.

    Odpowiedz
    • 2015.11.26 23:08 Jarek

      Najlepszym programem do analizy pliku jest TC + F3 :) Tam widać czy PDF czy EXE.

      Odpowiedz
  • 2015.11.25 17:59 Alicja

    Mam dzisiaj 2 takie wiadomości, nadane z dwóch różnych adresów: [email protected] i [email protected]
    Treść podobna, załączniki o innych nazwach.

    Odpowiedz
    • 2015.11.26 03:24 NN

      Przez jakiś czas wszystko z @rambler.ru powinno trafiać na „konto” postmastera który to dopiero decyduje czy można danego maila przekazać userowi. Jeśli postmaster nie wie jak należy zdymisjonować darmozjada!

      ClamAV (do pliku customsig.ndb) – wybrać zależnie od potrzeb/wymagań jedną z:
      1. Nazwy plików z RTLO (ze spacjami przed i po) w archiwum zip – ta kampania i podobne:
      Trojan.zip.Suspected.RTLO.20151125_XX:0:*:504b{-100}20e280ae20
      2. Dowolne nazwy plików z RTLO w archiwum zip:
      Forbidden.zip.RTLO:0:*:504b{-100}e280ae
      Dla innych archiwów należy skonstruować podobne reguły.
      W przypadku wdrożenia sugeruję fake-reject na poziomie MTA zamiast standardowego rejecta, tj. kopia odrzuconego maila musi dotrzeć do postmastera na wypadek false positive.

      Odpowiedz
  • 2015.11.26 00:36 Zenon

    W zamierzchłych czasach pliki w systemie Amiga OS były rozpoznawane po nagłówkach. Odczytywało się 8 pierwszych bajtów i tam był określony rodzaj pliku i na tej podstawie podejmowane działanie. Jeżeli cokolwiek nie pasowało, to najczęściej generowany był błąd. Ale to nie zmienia faktu że system jak rozpoznał plik wykonywalny to go… wykonywał. Bezpieczniejsze wydaje się rozpoznawanie po rozszerzeniu.

    Odpowiedz
  • 2015.11.26 03:56 Grzegorz

    No to mają audyt ale bezpieczeństwa

    Odpowiedz
  • 2015.11.26 08:57 Robert

    Wszystkich w firmie ostrzegłem że jakakolwiek forma przesłania załącznika to forma ataku. Kasować a potem zastanawiać się co to było. Doszło do tego że załączniki są umawiane(skype,VOIP) i jak na razie jest OK.

    Odpowiedz
  • 2015.11.26 17:19 Jezy

    A to ciekawe przesłałem ten mail na mój gmail.com i co?
    Nie przyjmuje odrzuca takie wiadomożci. Pozdrawiam wszystkich i polecam konto na gmail.

    Odpowiedz
  • 2015.11.27 04:41 Dex

    Czy ktos moze rozwinac znaczenie 'sztuczka ltr’?

    Odpowiedz
    • 2015.11.27 11:41 Janek

      Left to Right

      system do poprawnego wyświetlania chociażby arabskiego alfabetu. Po znaczniku LTR system czyta od prawej do lewej, wyświetlając od lewej do prawej.

      Odpowiedz

Zostaw odpowiedź do Janek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alert: Pańskiej firmie pryznany audyt

Komentarze