Bardzo sprytny phishing z portfelem pełnym bitcoinów

dodał 7 stycznia 2014 o 22:29 w kategorii Złośniki  z tagami:
Bardzo sprytny phishing z portfelem pełnym bitcoinów

(źródło: Nomadic Lass)

Po sieci krążą tysiące różnych prób phishingu, często bardzo marnej jakości. Czasem jednak trafia się prawdziwa perełka, wykorzystująca zarówno aspekt psychologiczny, jak i technologiczny, by oszukać i okraść jak najwięcej internautów.

Pewnie każdy z Was dostaje codziennie co najmniej jeden email z próbą wyłudzenia informacji lub zachęta do kliknięcia w podejrzany link. Z reguły na pierwszy rzut oka wiadomości te wyglądają niewiarygodnie – tekst z translatora, podejrzana treść, powtarzający się schemat komunikatu o „wyłączeniu konta” – trudno się na coś takiego nabrać. Czasem jednak oszuści naprawdę się starają i efekt ich pracy robi wrażenie.

30 BTC w zasięgu ręki

W serwisie Reddit jeden z użytkowników opisał (a inni potwierdzili) otrzymanie ciekawej wiadomości poczty elektronicznej. Wygląda ona jak błędnie skierowana prośba o odzyskanie zawartości portfela, w którym znajduje się ponad 30 BTC.

Podejrzany email

Podejrzany email

Nadawca, Erwann Genson, prosi w nim niejakiego Davida o pomoc w zaimportowaniu załączonego do wiadomości portfela. Pisze, że sam miał z tym problemy, a w portfelu przechowuje ponad 30 BTC. Prosi także o przesłanie odzyskanej kwoty na wskazany adres. Wiadomość zawiera link, przekierowujący do pliku ZIP, o którym opowiemy za chwilę. David, domniemany odbiorca wiadomości, to prawdopodobnie użytkownik Reddita davebitcoin, który znany jest z pomagania innym w takich przypadkach. Wiadomość jest napisana poprawnym angielskim i wygląda w miarę wiarygodnie (na szczęście Google od razy rozpoznaje ją jako podejrzaną).

Archiwum ZIP

Najciekawszym elementem ataku jest plik ZIP, do którego link znajduje się w emailu (kopię możecie znaleźć tutaj – prosimy o zachowanie ostrożności). Plik ZIP zawiera folder „Backup”, a w nim kilka plików. Jeśli wyświetlicie zawartość katalogu po jego rozpakowaniu, zobaczycie:

2014-01-07 22:02 <DIR> .
2014-01-07 22:02 <DIR> ..
2014-01-06 22:54 49 625 bitcoinqt.PNG
2014-01-06 23:29 1 258 Password.txt.lnk
2013-12-22 10:23 81 920 wallet.dat
 3 plik(ów) 132 803 bajtów

Jeśli jednak wyświetlicie również pliki ukryte, pojawi się jeszcze jeden:

2014-01-07 22:02 <DIR> .
2014-01-07 22:02 <DIR> ..
2014-01-06 22:54 49 625 bitcoinqt.PNG
2014-01-06 22:46 423 424 Password.txt
2014-01-06 23:29 1 258 Password.txt.lnk
2013-12-22 10:23 81 920 wallet.dat
 4 plik(ów) 556 227 bajtów

Pierwszy z nich, bitcoinqt.PNG, zawiera zrzut ekranu portfela zawierającego trochę ponad 30 BTC.

Plik z zawartością portfela

Plik z zawartością portfela

Ostatni plik to faktycznie portfel, którego zrzut ekranu znajduje się powyżej. Pozostają zatem pliki Password.txt oraz Password.txt.lnk. Pierwszy z nich posiada atrybut „ukryty”, przez co domyślnie nie jest wyświetlany. Wygląda niewinnie, prawda? Tylko czemu ma ponad 400 kb? Odpowiedź kryje się w linku, otwieranym przez plik Password.txt.lnk:

 C:\Windows\System32\cmd.exe /c password.txt

Tak, Password.txt to plik wykonywalny, uruchamiany za pomocą odpowiedniego skrótu. Sprytne, prawda?

Dodatkowe informacje

Sam plik Password.txt nie jest zbyt dobrze rozpoznawany przez programy antywirusowe – wynik 11/48 nie jest imponujący. Do tej pory nie opublikowano analizy jego działania, wiadomo jedynie, ze łączy się z serwerem 93.174.90.67 na porcie 7657. Wiadomo też, kto był adresatem wiadomości – nadawca skorzystał z błąkającej się po sieci bazy ok. 60 tysięcy adresów email kont wykradzionych 3 lata temu podczas włamania do MtGox.

Choć pewnie części Czytelników ta próba phishingu wydaje się z daleka podejrzana, to pozostałym radzimy uważać, by chciwość nie przysłoniła rozsądku :)

Za cynk dziękujemy RicoElectrico