14.01.2016 | 13:30

Adam Haertle

Alert: Potwierdzenie odbioru paczki

Przestępcy rozsyłają własnie wiadomości udające powiadomienia od Paczkomatów. Wiadomość zawiera złośliwy załącznik, instalujący na komputerze ofiary konia trojańskiego. Wiadomość wygląda tak:

Fałszywa wiadomość

Fałszywa wiadomość

Potwierdzenie odbioru paczki w dniu 14-01-2016
Oceń dostawę!

Gratulujemy! Udało Ci się odebrać paczkę w 25.77 s

Numer paczki
665001299558260019953876
Szcegóły dotyczące przesyłki
znajdziesz w załączonym dokumencie:
Potwierdzenie odbioru paczki.docm.

Łączny czas doręczenia
21 godz.

W załączniku znajduje się plik o złośliwym charakterze:

  • nazwa: Potwierdzenie odbioru paczki.docm
  • MD5: 937a80e3e9b76e4487ba823420d3fde5
  • VirusTotal
Zawartość pliku DOCM

Zawartość pliku DOCM

Plik jkwldl.exe także jest ciekawy i odbiega od badanych w ostatnich dniach. Pobiera z internetu kolejne pliki:

  • serv.hfsoft.xyz/EPWD
  • serv.hfsoft.xyz/PWD
  • ddl3.data.hu/get/0/9411213/mpc.exe

Dziękujemy Mateuszowi za podesłanie próbki.

Powrót

Komentarze

  • 2016.01.16 11:32 Ł.O

    Lekko spozniona kampania – o jakis miesiac.

    Odpowiedz
  • 2016.05.09 11:05 begginer

    Witam, z góry zaznaczę że jestem początkujący w temacie bezpieczeństwa. Zastanawia mnie jak badacie działanie wirusa. Jakieś specjalne programy do odtwarzania tych plików?

    Odpowiedz
    • 2016.09.04 16:48 Krzysztof

      Zapewne dowolny VM albo sandbox z opdowiednim oprogramowaniem.

      Odpowiedz
  • 2017.01.17 12:00 kernelpanic

    Dostałem coś podobnego z dpd . Kurier dotrze dziś, proszę uszykować 384zł. W załaczniku potwierdzenie nadania paczki – plik PDF.js ;-D

    Odpowiedz

Zostaw odpowiedź do Krzysztof

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Alert: Potwierdzenie odbioru paczki

Komentarze