Alert

Alert: Faktura Orange

Od godziny 9:30 do skrzynek trafia wiadomość udająca fakturę od firmy Orange. Wysyłka jest przygotowana dość przyzwoicie. Możliwe tematy wiadomości to:

Wiadomość nie ma treści.… Czytaj dalej

Alert: Potwierdzenie odbioru paczki

Przestępcy rozsyłają własnie wiadomości udające powiadomienia od Paczkomatów. Wiadomość zawiera złośliwy załącznik, instalujący na komputerze ofiary konia trojańskiego. Wiadomość wygląda tak:

W załączniku znajduje się plik o złośliwym charakterze:

  • nazwa: Potwierdzenie odbioru paczki.docm
  • MD5: 937a80e3e9b76e4487ba823420d3fde5
  • VirusTotal

Plik jkwldl.exe także jest ciekawy i odbiega od badanych w ostatnich dniach.… Czytaj dalej

Alert: Biomir środki czystości

Złośliwa wiadomość w dzisiejszej poczcie:

Plik załącznika:

  • nazwa załącznika: FK-11-JRT2911.rar
  • plik w archiwum: FK-11-JRT2911.pif
  • MD5: 5b52daed21f7ddbcef83128e820c9492 / a98adbdf8617573bae01328745b6b1c7
  • Virus Total, Malwr.com, Hybrid Analysis
  • zawartość: ?
  • C&C: hydrobrom.com / fineverdis.com
Czytaj dalej

Alert: Próba doręczenia przesyłki DHL

Dzisiaj w skrzynkach Polaków:

Temat: Próba doręczenia przesyłki DHL ID:2283213229313 (numer ulega zmianie)

Złośliwy plik:

  • archiwum dhl factura pdf.z
  • zawiera dhl factura 26112015 exe.pdf (sztuczka RTL)
  • MD5: 757e9135bacd75102afdfa5ebec2d894
  • Virus Total, Malwr.com, Hybrid Analysis
  • koń trojański ISFB
  • C&C agreylux.com

 

Dziękujemy wszystkim którzy podsyłają nowości :)Czytaj dalej

Alert: Pańskiej firmie pryznany audyt

Tym razem skrzynki atakuje wiadomość nieudolnie udająca komunikat od firmy audytorskiej.

Temat: Pańskiej firmie pryznany finansowy audyt

Treść:

Złośliwy plik:

  • archiwum audit_umova.z
  • w środku plik o nazwie audit_umova.exe.pdf (Uwaga! Przez sztuczkę LTR tak wygląda plik, choć nazwa prawdziwa to audit_umova.fdp.exe)
  • MD5: 7d93c5cbd11087f93920d9b6da7dcd2a
  • Virus Total, Malwr.com, Hybrid Analysis
  • plik zawiera konia trojańskiego ISFB
  • C&C: agreylux.com

 … Czytaj dalej

Alert: Zaległa faktura

Do skrzynek trafia od dzisiaj rano kolejna edycja wiadomości ze złośliwymi załącznikami. Treść wygląda tak:

Nadawcą jest adres windykacje@zatokaprawna.pl. Domena zatokaprawna.pl została zarejestrowana wczoraj. Drugi wariant wiadomości rozsyłany jest z adresu kontakt@wasowskiispolka.pl. Domena wasowskiispolka.pl została dla odmiany zarejestrowana dzisiaj.

Aktualizacja 2015-11-26: Dzisiaj na dawcą jest kontakt@platformaprawna.pl i Piotr Wąsokowski.… Czytaj dalej

Alerty 2015-10-20 – Tinba, Tinba i Tinba

Oprócz rzekomych faktur Plusa doręczane wczoraj były także inne złośliwe wiadomości.

Drugi wariant:

Wiadomości nie mają treści, ich tematy to „informacja” lub „zdjecia cz. 2 – ostatnia”.

Złośliwy załącznik:

  • Bez tytułu 1.png.zip / obrazy – cz.2  – 2015.10.pps.zip
  • Bez tytułu 1.png.exe / obrazy – cz.2  – 2015.10.pps.exe
  • MD5: 48aed305cc4b90e25c8096c742cb714e
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja:  2015-10-19 12:00
  • zawiera – identycznie jak „faktury Plusa” – konia trojańskiego Tinba

Z kolei dzisiaj ich miejsce zajęły następujące wiadomości:

Drugi wariant:

Tematy wiadomości to „umowa” oraz „Niedostarczona poczta – zwrot do nadawc”.… Czytaj dalej

Alert: Twoja Zielona faktura Plus

Obserwujemy dużą falę złośliwego oprogramowania wysyłanego jako rzekoma faktura od Plusa.

Złośliwy załącznik:

  • [8 losowych cyfr]_Detale_Nota_odsetkowa_20151019.zip
  • [8 innych losowych cyfr]_Detale_Nota_odsetkowa_20151019.pdf.exe
  • MD5: 30d3c63ac36b2f38e3b918aff77a99bf
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja 2015-10-19 09:52
  • plik to wyjątkowo marnie ukryty bankowy koń trojański Tinba

Sama wysyłka prowadzona jest za pomocą zróżnicowanych adresów IP z całego świata.… Czytaj dalej

Alerty 2015-10-15 – Poczta Polska, ISFB

Alerty 2015-10-15 – Poczta Polska, ISFB

Dzisiaj dotarły do nas dwie próbki złośliwego oprogramowania i co ciekawe obie – choć znacząco różne – mają w temacie „zamówienie”. Jedna próbka to ciąg dalszy podszywania się pod Pocztę Polską, druga prawdopodobnie nawiązuje do wcześniejszych akcji z ISFB.

314881 Twoje zamówienie nie zostalo dostarczone‏

Link prowadzi do adresu

który przekierowuje do

Tam z kolei uzupełnienie CAPTCHA pomaga w pobraniu pliku

Plik wykonywalny:

  • pdf_informacja_o_dzialki_37bea850bd69d7d751a7520e338c7f00.exe
  • MD5: 9f1f9645b7b37a28ef57c174e03f9599
  • Virus Total
  • Malwr.com
  • Hybrid Analysis
  • pierwsza obserwacja: 2015-10-15 20:37
  • C&C: ecestioneng.com
  • docelowy pobierany plik to ransomware

Atak wygląda na ciąg dalszy działań Grupy Pocztowej.… Czytaj dalej

Alerty 2015-10-14 – Thomas, Poczta Polska

Alerty 2015-10-14 – Thomas, Poczta Polska

Specjaliści do spraw bezpieczeństwa spotykają się na konferencji Secure, a przestępcy nie próżnują i rozsyłają kolejne próby ataków na Wasze skrzynki. Próby – jak słyszymy – coraz mniej skuteczne, choć nadal setki osób instalują nieświadomie złośliwe oprogramowanie na swoich komputerach. Tym razem powraca Grupa Pocztowa, Thomas oraz ISFB – a to wszystko jednego tylko dnia.… Czytaj dalej

Alerty 2015-10-12 – zdjęcia, reklamacja

Alerty 2015-10-12 – zdjęcia, reklamacja

Dzięki zakończonej niedawno konferencji Security BSides nie nadążaliśmy z opisywaniem na bieżąco najnowszych prób zainfekowania Waszych komputerów i czas nadrobić trochę zaległości. A nadrabiać trzeba szybko, bo już wkrótce konferencja Secure. Tym razem przedstawimy serię pozornie niezwiązanej korespondencji z ostatnich dni, w której wszystkie tropy prowadzą do tego samego botnetu.… Czytaj dalej

Alerty 2015-10-01 – faktury, windykacje

Alerty 2015-10-01 – faktury, windykacje

W dzisiejszym wydaniu krótko opisujemy ataki z ostatnich 2 dni. Koniec tygodnia wydaje się być pod tym względem dużo spokojniejszy, odnotowaliśmy jedynie 2 nowe kampanie, prawdopodobnie wysyłane przez tych samych autorów, o których piszemy regularnie od początku września.

Faktura VAT i cztery pliki EXE

Treść wiadomości:

Wariant 2:

W załączniku:

  • FS_VAT_29_2015.pdf.7z
  • FS_VAT_29_2015.pdf.scr
  • MD5: b5fde6f450aa0c74b13ad7c03d7bb848
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-30 10:18

Inny wariant pliku to windykator_nr_9684.pdf.scr.… Czytaj dalej

Alerty 2015-09-30 – dostawy, bilety, fotki

Alerty 2015-09-30 – dostawy, bilety, fotki

W dzisiejszym wydaniu krótko opisujemy ataki z ostatnich 3 dni. Choć w sumie odnotowaliśmy 7 różnych wiadomości i 6 różnych plików, to wygląda to na jedynie 4 różne kampanie.

Faktura do zapłaty

Inny wariant:

W załączniku:

  • windykacja_nr_sprawy_5838.pdf.7z
  • windykacja_nr_sprawy_5838.pdf.scr
  • MD5: ecf3bc9ac0f54f772184bd4a559a87f6
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-28 16:05

Inny wariant:

W załączniku:

  • Faktura VAT_6587.pdf.7z
  • Faktura VAT_6587.pdf.scr
  • MD5: 1ffa5007ae52d818baaaaf44f70757cf
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-28 10:43

Dostawa

W załączniku:

  • Dostawa_Visual FoxPro_118.zip
  • Dostawa_Visual FoxPro_118.pdf.exe
  • MD5: 9c1fddcb61ede177771cac678cb8b6e1
  • Virus Total
  • Hybrid Analysis
  • pierwsza obserwacja 2015-09-29 09:58

Tajemniczy bilet

To najprawdopodobniej inny wariant kampanii z „dostawą” (podobna wiadomość, podobne złośliwe oprogramowanie w załączniku).… Czytaj dalej

aruba