06.03.2017 | 11:15

Adam Haertle

Duża kampania złośliwego oprogramowania „Dowód zakupu do zamówienia nr”

Od ok. 9:30 do skrzynek Polaków zaczęły w masowych ilościach trafiać wiadomości zawierające złośliwy załącznik udający dowód rzekomego zakupu towaru. Choć rodzaj ataku jest świetnie znany, to niestety użytkownicy nadal klikają.

Pewnie zapytacie, ile razy można pisać o tym samym. Niestety mimo naszych i Waszych wysiłków nadal setki, jak nie tysiące uzytkowników w całej Polsce grzecznie włącza makro w losowych dokumentach Worda i instaluje złośliwe oprogramowanie. Na dole wiadomości znajdziecie kilka IOC, by wykryć w swoich sieciach osoby, które już kliknęły oraz uniemożliwić innym popełnienie tego samego błędu.

Stara sztuczka, masowa skala

Wiadomość wygląda następująco:

Witamy,

W załączniku przesyłamy fakturę/dowód zakupu za zakupiony towar

Nazwa: Koszt transportu
Ilość: 1 szt.
Wartość: 40.00 zł.

Zgodnie z Dyrektywą 2006/112/WE Unii Europejskiej w sprawie wspólnego systemu podatku od wartości dodanej oraz Rozporządzeniem Ministra Finansów z dnia 28 listopada 2008 r. w sprawie zwrotu podatku niektórym podatnikom, wystawiania faktur, sposobu ich przechowywania oraz listy towarów i usług, do których nie mają zastosowania zwolnienia od podatku od towarów i usług (Dz.U. Nr 212, poz. 1337) faktura VAT nie wymaga podpisu ani pieczątki.

Dziękujemy

Zapraszamy ponownie.

Do wiadomości załączony jest plik o nazwie

oryginal-38f91101-15c5-5768-3714-44d912ef420e.doc

Cały ciąg po „oryginal” jest unikatowy dla każdego obserwowanego załącznika. Dokument wygląda tak:

Kilka wskaźników pierwszego etapu infekcji:

nevolakro.co
olseneinfeis.com
zepter.com
gbfeiseis.com
fesirunfve.com

104.198.56.86
130.211.122.163
134.249.212.17
159.224.47.224
176.121.202.176
188.26.144.217
46.250.21.195
46.33.233.164
94.41.123.0

Nie jesteśmy pewni co robi tam domena „zepter.com”, ale jeśli Hybrid Analysis się nie myli i nie sprzedajecie garnków to lepiej dzisiaj zablokować. Plik EXE pobierany przez skrypt Powershella uruchamiany przez makro z Worda to bankowy koń trojański Nymaim (tu jego świetna analiza).

Jeśli nadal walczycie w swoich firmach z podobnymi problemami to dobrym pomysłem jest zablokowanie mozliwości uruchomienia makro dla wszystkich dokumentów nie zapisanych na dysku sieciowym.

Dziękujemy Czytelnikom zgłaszającym próbki.

Powrót

Komentarze

  • 2017.03.06 11:36 Daria

    Co zrobić jak popełniło się głupotę i kliknęło na tego maila?

    Odpowiedz
    • 2017.03.06 11:41 Adam

      1. Po kliknięciu w emaila nic.
      2. Po otwarciu załącznika nic (chyba że były domyślnie włączone makra – patrz punkt 3)
      3. Po kliknięciu „Enable content”, „Włącz zawartość” itp – polecana reinstalacja komputera i zmiana wszystkich haseł.

      Odpowiedz
  • 2017.03.06 11:58 piatkosia

    Dostałam podobnego maila, ale z innej domeny (onet konkretnie). Nawet miałam okazję go rano do certu wysłać.

    Odpowiedz
    • 2017.03.06 15:27 msm

      Doszedł i trafił do analizy, dzięki :P

      Odpowiedz
  • 2017.03.06 12:17 Anna

    Czy jeśli się otworzyło załącznik i uruchomiło makro, ale Kaspersky podał informację, że wykrył i zablokował szkodliwe oprogramowanie, to można uznać, że nic się nie stało, czy również konieczna reinstalacja systemu i zmiana haseł?

    W ostrzeżeniach Kaspersky mam informację „Wykryty obiekt (pamięć procesu) nie został przetworzony”, ale w szczegółowym raporcie, obok informacji, że wykryto i zablokowana szkodliwy program, jest też coś takiego: „Aplikacja została dodana do grupy Zaufane PowerShell.EXE Powód: analiza podpisu cyfrowego”.

    Odpowiedz
    • 2017.03.06 15:33 msm

      To zależy czy lubisz ryzyko. Próbka którą analizowaliśmy jest wykrywana tylko przez 10/59 antywirusów. Kaspersky akurat ją wykrywa nawet, ale jako „UDS:DangerousObject.Multi.Generic” co jest bardzo średnim strzałem. Ale faktycznie, jest spora szansa że oprogramowanie zostało zablokowane.

      Możesz też przejrzeć IoC które wkleiłem w innym komentarzu (pliki w %APPDATA%) albo sprawdzić czy coś Ci się injectuje w strony bankowe, ale moim zdaniem w momencie uruchomienia złośliwego oprogramowania na systemie „all bets are off” i jedyne słuszne rozwiązanie to reinstalacja.

      Odpowiedz
      • 2017.03.06 17:15 epic

        A czy Avira zaliczała się do tej dziesiątki ? Z góry dziękuję za odp :)

        Odpowiedz
        • 2017.03.06 18:38 msm

          Źródło tych statystyk o 10 infekcjach to virustotal – teraz już 11 AV wykrywa. Aviry niestety wśród nich nie ma.

          Odpowiedz
          • 2017.03.09 15:22 Karol

            A czy Norton Internet Security wykrywa?

      • 2017.03.06 17:41 Artur

        Kaspersky na UTM Stormshield nic nie wykrył ok. godz. 10. Również GData na stacjach puściła załącznik.
        Mail dość dobrze napisany bez błędów. Tego już w samym pliku nie miałem okazji dostrzec :)
        W ubiegłą środę była podobna kampania ale gorzej „spolszczona”.

        Odpowiedz
  • 2017.03.06 12:27 ktos

    Mam kilka pytań:
    1. Czy ten wirus działa tylko na Windows, czy też na inne systemy?
    2. Reinstalacja komputera oznacza pełny format dysku i co za tym idzie skasowanie wszystkich partycji?
    3. Czy jeżeli załącznik był otwarty na Windows, to czy mając linuxa na tym samym dysku, ale na innej partycji nadal trzeba będzie Linuxa stawiać od początku, czy jest on „bezpieczny”? No i w drugą stronę.
    4. Czy podpięcie zewnętrznych nośników pod zainfekowany komputer też je zainfekuje (nawet jeżeli są podpięte gdy drugi system jest odpalony).
    5. Czy zrobicie może kiedyś jakiś ranking odnośnie najbardziej zaspamowanych skrzynek? Mam wrażenie, że o2 będzie wiodło prym.

    Na szczęście sam z siebie nie wierzę i nie odpalam takich plików (od razu wylatują), ale wczoraj zaskoczyłem się mailem z ipko z potwierdzeniem zapłaty. Treść maila bardzo podobna do tej powyżej a szczegóły tylko w załączniku i dziwnej nazwie. Okazało się, że narzeczona płaciła za ubezpieczenie auta.. Dodatkowo zapytałem o której godzinie płaciła. Gdyby nie przypadek to bym tego maila do spamu wrzucił.. PKO zdecydowanie powinno popracować nad swoimi potwierdzeniami.

    Pozdrawiam.

    Odpowiedz
    • 2017.03.06 15:38 msm

      1. Tylko Windows

      3. W teorii trzeba stawiać od początku (jest możliwa infekcja). W praktyce w 100% bezpieczny (absolutnie nic tego nie robi).

      4. W teorii tak, w praktyce prawie nic nie próbuje infekować USB (i słusznie, bo to technika niegodna XXI wieku). No i wirusy komputerowe to nie grypa, mogą najwyżej skopiować jakiś plik na USB – dla pewności możesz sformatować to USB i mieć 100% pewności że jest czysty.

      Odpowiedz
      • 2017.03.07 00:22 lenwe

        Nawet gdyby ktoś np. uruchomił go w ms office działającego przez wine?

        Odpowiedz
  • 2017.03.06 15:26 msm

    > Nie jesteśmy pewni co robi tam domena „zepter.com”, ale jeśli Hybrid Analysis się nie myli i nie sprzedajecie garnków to lepiej dzisiaj zablokować

    Hybrid Analysis się nie myli. Ale domena zepter.com jest bezpieczna.

    Zepter.com to nie jest domena do której idzie request, nymaimowe requesty idą bezpośrednio pod odpowiedni adres IP ze spoofowanym nagłówkiem Host. Aktualnie ta spoofowana domena to zepter.com albo carfax.com. Swego czasu były też np. breitling.com albo sixt.com.

    Aktualnie prawdziwe domeny C2 to „gedstines.com”, „fesirunfve.com”. olseneinfeis.com też gdzieś mamy w logach, ale to prawdopodobnie przyszła domena (jeszcze żadnej komunikacji się nie da z nią nawiązać).

    Do IOC bym dodał dziwne pliki w %APPDATA%, pasujące do schematu:

    %appdata%\chans-%!rndl_0_0_1_1_3%.exe
    %allusersprofile%\vmebus-%!rndl_0_0_1_1_3%.exe
    %appdata%\vmbus-%!rndl_0_0_1_1_3%.exe
    %allusersprofile%\pcmcia-%!rndl_0_0_1_1_3%.exe

    gdzie %!rndl_0_0_1_1_3% to losowa liczba, a .exe jest wrzucony do HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

    Odpowiedz
  • 2017.03.06 15:48 jk

    Językowo twórcy e-maila się nie popisali… „Ten dokument został utworzony w PÓŹNEJ wersji Worda” – wiadomo, że powinno być późniejszej albo nazwa konkretnej wersji. Wpadki gramatyczno-językowe powinny dawać już do myślenia, jeżeli kliknęło się w ten link.

    Odpowiedz
  • 2017.03.06 17:51 Ewelina

    A ja się dałam złapać :( czy jeśli otworzyłam plik ale nie kliknelam na „włącz edytowanie” to mój komputer jest bezpieczny?

    Odpowiedz
    • 2017.03.06 18:15 Artur

      Adam odpowiedział w drugim komentarzu.

      Odpowiedz
  • 2017.03.06 18:51 Grzegorz

    Haha, dostałem taką wiadomość na pocztę. Była w folderze SPAM. Treść wiadomości, pseudo faktura jako plik .doc oraz cała nazwa pliku, to te trzy elementy które mówiły mi że to z pewnością jakaś podpucha na naiwnych. Momentalnie znalazłem ten art. na Z3S i co się okazało? Nie myliłem się.

    Odpowiedz
  • 2017.03.06 20:29 Artur

    Skuteczność tego typu kampanii zwiększa pewien brak kultury pisania maili. Wierzcie albo nie ale w porównaniu do niektórych przekazywanych treści wraz z ważnymi załącznikami ta wiadomość jest wprost doskonała. Na porządku dziennym jest mail z tematem faktura, dokument i samym załącznikiem wysyłany naprawdę z onetu :)
    I myśl tu teraz czy to nie próba wyłudzenia ;) To i ludzie klikają :(

    Odpowiedz
    • 2017.03.08 16:35 Po_Prostu_Janusz

      Ja z fascynacją przyglądam się zabawom ze spacją:
      – formatowanie spacją
      – spacje mnogie
      – spacje przed przecinkami

      M am gościa .W pracy ,który pisze mniej więcej ,w ten właśnie sposób .

      W szkole podstawowej miałem zajęcia z maszynopisania. Oprócz walenia w klawisze prawdziwej maszyny do pisania pani tłumaczyła jak się formatuje tekst oraz jak pisać bez patrzenia na klawiaturę. Za mało tego było żeby zostało w głowie na dłużej.

      Dziś zastanawiam się, czemu nie ma zajęć z pisania na klawiaturze skoro od lat ’80 ubiegłego wieku wiadomo było, że komputer będzie narzędziem pracy w niemal każdym biurze, a od końca lat ’90 stał niemal w każdym domu? Przecież dziś więcej pisze się na klawiaturze niż odręcznie.

      Odpowiedz
  • 2017.03.06 20:48 Babsko z bazaru

    Poczta z o2 forwardowana na gmaila – gmail wykrywa wirusa i blokuje załącznik.

    Odpowiedz
  • 2017.03.06 22:52 Tomasz

    Jak zachowa się opisywany szkodnik przy próbie uruchomienia wspomnianego pliku za pomocą OpenOffice lub Libre Office ?

    Czy wirus jest groźny tylko dla użytkowników pakietu Microsoftu?

    Czy we wspomnianych wyżej opensourcowych pakietach biurowych można się jakoś dodatkowo zabezpieczyć przed tego typu zagrożeniami?

    Prosiłbym o umieszczanie w informacjach również informacji dot. zachowań wirusa w alternatywnych pakietach biurowych – oczywiście Office Microsoftu jest standardem branżowym jednak wielu użytkowników i małe firmy korzystają chętnie z darmowych rozwiązań….

    Odpowiedz
    • 2017.03.07 09:38 czaderski

      Jeśli poziom bezpieczeństwa masz ustawiony na wysoki, to makra w LO uruchomią się tylko wtedy, gdy są podpisane przez zaufanych wystawców. W dodatku – z tego co pamiętam – wysoki poziom jest włączony domyślnie. W każdym innym wypadku niemal pewna jest infekcja malware.
      Jeśli chcesz się jeszcze bardziej zabezpieczyć się, to skorzystaj z banalnie prostego programu, ktory blokuje wszystkie próby uruchamiania skryptów w systemie, blokuje komendy z poziomu Eksploratora w PowerShellu, nie będzie uruchamiać dokumentów z zewnętrznych źródeł, zablokuje ActiveX oraz obiekty OLE.
      https://github.com/securitywithoutborders/hardentools

      Odpowiedz
  • 2017.03.07 09:41 tom

    nowa wersja:

    Witam serdecznie,
    Nawiązując do rozmowy telefonicznej wysyłam fakturę z brakującym numerem.

    Pozdrawiam
    Stanisław Nowak
    Biuro Rachunkowe

    Odpowiedz
    • 2017.03.07 10:56 Art

      U mnie też tylko podpis inny:

      Pozdrawiam
      Ewa Baran
      Biuro Rachunkowe

      Odpowiedz
  • 2017.03.07 11:13 mi1es

    Połapali się i wyszła teraz druga tura, ze zmienionym tematem:

    PD: Brakujący numer faktury

    Odpowiedz
  • 2017.03.07 11:24 Paweł

    Wiąże się z tym też inna ciekawostka – być może celowa próba obejścia niektórych zabezpieczeń – w Outlooku 2016, na liście wiadomości nie pokazuje się symbol załącznika przy takim mailu (spinacz), mimo tego że załącznik jest w wiadomości. Pewnie w jakiś sposób zostało to spreparowane. Żeby było ciekawiej to adresy e-mail z których pochodzą wiadomości, bardzo często nie istnieją. Dostałem pierwszą taka wiadomość 1 marca, pomyślałem że to pomyłka więc odpisałem. Odpowiedział mi demon poczty tlena że taki adres nie istnieje.

    Odpowiedz
  • 2017.03.07 12:01 Dulin

    u mnie wczoraj dwa z „dyrektywą UE”, dziś kolejny z nową wersją

    Witam serdecznie,

    Nawiązując do rozmowy telefonicznej wysyłam fakturę z brakującym numerem.

    Pozdrawiam
    Janina Lewandowski
    Biuro Rachunkowe

    Odpowiedz
  • 2017.03.07 12:05 Wojtek

    z 10.14 dziś:

    ———-
    Witam serdecznie,

    Nawiązując do rozmowy telefonicznej wysyłam fakturę z brakującym numerem.

    Pozdrawiam
    Magdalena Kwiatkowski
    Biuro Rachunkowe
    ———

    w załączniku dokument doc z makro:

    0444.doc

    https://www.virustotal.com/pl/file/8345e5bd79b0c8507814fcdc8a34ce68915536527aaad3b88a1cded9271cc144/analysis/

    Tak samo wyglądający po otwarciu dokument jak z wczoraj.

    Inne zaciemnienie vbs w makro niż wczoraj:

    http://pastebin.com/qSKWRedU

    Odpowiedz
  • 2017.03.07 12:23 Wojtek

    z 10.40 z dziś:

    Treść e-mail
    ———-
    Witam serdecznie,

    Nawiązując do rozmowy telefonicznej wysyłam fakturę z brakującym numerem.

    Pozdrawiam
    Magdalena Kwiatkowski
    Biuro Rachunkowe
    ————

    załącznik: 0444.doc

    tak samo wyglądający po otwarciu jak wczorajszy dokument.

    https://www.virustotal.com/pl/file/8345e5bd79b0c8507814fcdc8a34ce68915536527aaad3b88a1cded9271cc144/analysis/

    skrypt vbs inny niż z wczoraj:

    http://pastebin.com/qSKWRedU

    Odpowiedz
  • 2017.03.07 13:22 Mentos

    Ja już dzisiaj otrzymałem obie wersje

    Odpowiedz
  • 2017.03.07 14:04 yar

    U mnie dziś to samo ale mail z domeny @sgh.waw.pl

    Odpowiedz
  • 2017.03.07 17:18 Joanna

    Dostałam list z domeny @sgh.waw.pl Na jaki adres, w celu analizy, mam go przesłać.
    Avast nie wykrył problemu ale pracowy ESET NOD zareagował prawidłowo.

    Odpowiedz
  • 2017.03.07 19:46 Nata

    A co jeśli próbowałam otworzyć ten plik na telefonie Samsung S7 w Windows Jak mam sprawdzić czy mam wirusa w telefonie?

    Odpowiedz
  • 2017.03.07 19:57 whocares

    A ja nie dostaję takich akcji, praktycznie nigdy, co robię źle? ;)

    Odpowiedz
  • 2017.03.07 22:37 Mike

    ma ktoś pomysł jak to zablokować na serwerze poczty? zwykle przez parę godzin antywirus nie reaguje jeszcze i przechodzą przez exima i mailscannera… sprawdzenie spf nie działa bo wybierają serwery poczty, które mają z tym problem (tlen, aster)

    Odpowiedz
  • 2017.03.08 09:01 Krzysztof Kozłowski

    To zaczyna się robić nudne….
    Ostatnio coraz częściej klienci dzwonią i pytają czy ta faktura to prawdziwa czy nie bo nie wiedzą czy klikać :D.
    I wbrew pozorom w firmach gdzie dużo leci faktur to jest kolosalny problem.

    Odpowiedz
  • 2017.03.08 12:44 H360

    Gdy piszecie o zagrożeniach to podajcie jakie systemy operacyjne są zagrożone. Nie tylko windowsem świat stoi.

    Odpowiedz
    • 2017.03.10 07:43 Pawel

      W pl tylko Windows

      Odpowiedz
  • 2017.03.09 11:17 slawa

    Jaki soft polecacie do skanowania kompów na zawartość wszystkich smieci, kiedyś dobry był spybot oraz unhackme a teraz ?

    Odpowiedz
  • 2017.03.09 19:53 Artur

    FRST?

    Odpowiedz
  • 2017.03.14 14:47 Dopamin

    Tez dostałam :/

    Z maila:

    [email protected]

    „Witamy,

    W załączniku wysyłam fakturę zakupu za zakupiony towar

    Nazwa: Koszt transportu
    Ilość: 1 szt.
    Wartość: 880.00 zł.

    Zgodnie z Dyrektywą 2006/112/WE Unii Europejskiej w sprawie wspólnego systemu podatku od wartości dodanej oraz Rozporządzeniem Ministra Finansów z dnia 28 listopada 2008 r. w sprawie zwrotu podatku niektórym podatnikom, wystawiania faktur, sposobu ich przechowywania oraz listy towarów i usług, do których nie mają zastosowania zwolnienia od podatku od towarów i usług (Dz.U. Nr 212, poz. 1337) faktura VAT nie wymaga podpisu ani pieczątki.

    Dziękujemy

    Biuro Rachunkowe”

    Odpowiedz
  • 2017.04.05 16:26 Klaudia

    Ja dostałam 6,14 i 20 marca i każdy z innego adresu i innej domeny i w mailu z 20 marca jest kwota 1352zł i brzmi tak:
    Witam
    Proszę o zapłacenie za fakturę FV/145/2017
    z dnia 08.03.2017r. Termin płatności minął 17.03.2017r. Kwota do zapłaty
    1352,- zł. Pilne!
    Pozdrawiam
    Paweł Mazur

    I różni się tym, że w dwóch poprzednich nikt się nie podpisał. Ktoś powie co mam zrobić ? :/

    Odpowiedz

Zostaw odpowiedź do Daria

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Duża kampania złośliwego oprogramowania „Dowód zakupu do zamówienia nr”

Komentarze