Przestępcy rozsyłają własnie wiadomości udające powiadomienia od Paczkomatów. Wiadomość zawiera złośliwy załącznik, instalujący na komputerze ofiary konia trojańskiego. Wiadomość wygląda tak:
Fałszywa wiadomość
Potwierdzenie odbioru paczki w dniu 14-01-2016
Oceń dostawę!
Oceń dostawę!
Gratulujemy! Udało Ci się odebrać paczkę w 25.77 s
Numer paczki
665001299558260019953876
Szcegóły dotyczące przesyłki
znajdziesz w załączonym dokumencie:
Potwierdzenie odbioru paczki.docm.
Łączny czas doręczenia
21 godz.
W załączniku znajduje się plik o złośliwym charakterze:
- nazwa: Potwierdzenie odbioru paczki.docm
- MD5: 937a80e3e9b76e4487ba823420d3fde5
- VirusTotal
Zawartość pliku DOCM
- pobiera: http://ddl7.data.hu/get/0/9413327/jkwldl.exe
- MD5: deb097e0e0c7080d85e01d13cb436e9d
- VirusTotal, Hybrid Analysis
Plik jkwldl.exe także jest ciekawy i odbiega od badanych w ostatnich dniach. Pobiera z internetu kolejne pliki:
- serv.hfsoft.xyz/EPWD
- serv.hfsoft.xyz/PWD
- ddl3.data.hu/get/0/9411213/mpc.exe
- MD5: 9987346236530edbf287d6bcb7921707
- VirusTotal, Hybrid Analysis
Dziękujemy Mateuszowi za podesłanie próbki.
Komentarze
Lekko spozniona kampania – o jakis miesiac.
Witam, z góry zaznaczę że jestem początkujący w temacie bezpieczeństwa. Zastanawia mnie jak badacie działanie wirusa. Jakieś specjalne programy do odtwarzania tych plików?
Zapewne dowolny VM albo sandbox z opdowiednim oprogramowaniem.
Dostałem coś podobnego z dpd . Kurier dotrze dziś, proszę uszykować 384zł. W załaczniku potwierdzenie nadania paczki – plik PDF.js ;-D