Duża kampania złośliwego oprogramowania „Dowód zakupu do zamówienia nr”

dodał 6 marca 2017 o 11:15 w kategorii Info  z tagami:
Duża kampania złośliwego oprogramowania „Dowód zakupu do zamówienia nr”

Od ok. 9:30 do skrzynek Polaków zaczęły w masowych ilościach trafiać wiadomości zawierające złośliwy załącznik udający dowód rzekomego zakupu towaru. Choć rodzaj ataku jest świetnie znany, to niestety użytkownicy nadal klikają.

Pewnie zapytacie, ile razy można pisać o tym samym. Niestety mimo naszych i Waszych wysiłków nadal setki, jak nie tysiące uzytkowników w całej Polsce grzecznie włącza makro w losowych dokumentach Worda i instaluje złośliwe oprogramowanie. Na dole wiadomości znajdziecie kilka IOC, by wykryć w swoich sieciach osoby, które już kliknęły oraz uniemożliwić innym popełnienie tego samego błędu.

Stara sztuczka, masowa skala

Wiadomość wygląda następująco:

Witamy,

W załączniku przesyłamy fakturę/dowód zakupu za zakupiony towar

Nazwa: Koszt transportu
Ilość: 1 szt.
Wartość: 40.00 zł.

Zgodnie z Dyrektywą 2006/112/WE Unii Europejskiej w sprawie wspólnego systemu podatku od wartości dodanej oraz Rozporządzeniem Ministra Finansów z dnia 28 listopada 2008 r. w sprawie zwrotu podatku niektórym podatnikom, wystawiania faktur, sposobu ich przechowywania oraz listy towarów i usług, do których nie mają zastosowania zwolnienia od podatku od towarów i usług (Dz.U. Nr 212, poz. 1337) faktura VAT nie wymaga podpisu ani pieczątki.

Dziękujemy

Zapraszamy ponownie.

Do wiadomości załączony jest plik o nazwie

Cały ciąg po „oryginal” jest unikatowy dla każdego obserwowanego załącznika. Dokument wygląda tak:

Kilka wskaźników pierwszego etapu infekcji:

Nie jesteśmy pewni co robi tam domena „zepter.com”, ale jeśli Hybrid Analysis się nie myli i nie sprzedajecie garnków to lepiej dzisiaj zablokować. Plik EXE pobierany przez skrypt Powershella uruchamiany przez makro z Worda to bankowy koń trojański Nymaim (tu jego świetna analiza).

Jeśli nadal walczycie w swoich firmach z podobnymi problemami to dobrym pomysłem jest zablokowanie mozliwości uruchomienia makro dla wszystkich dokumentów nie zapisanych na dysku sieciowym.

Dziękujemy Czytelnikom zgłaszającym próbki.