Dzisiaj od godziny 9 rano na konta wielu internautów trafiają fałszywe wiadomości „od Allegro”, wskazujące na zaległości w płatnościach. Wiadomość pod tytułem „Oplaty Allegro za 7/2014” wygląda tak:
Spam udający Allegro
Kwota w kilku otrzymanych przez nas próbkach wynosiła -23,50, -27,50 oraz -29,50. Numer konta powtarza się w każdej z analizowanych wiadomości i prawdopodobnie jest przypisany do konta jakiegoś Allegrowicza (posiada prawidłową sumę kontrolną oraz należy do tego samego oddziału co oryginalny rachunek Allegro, zgadza się również pierwszych kilka cyfr). Wiadomość łatwo rozpoznać, ponieważ nie zawiera polskich znaków, poza tym jednak dość wiernie odwzorowuje oryginalne komunikaty wysyłane przez Allegro.
Do wiadomości dołączony jest plik
wiadomosc_faktura.formularz przekazu.pdf.zip
zawierający dla odmiany plik z rozszerzeniem „pif”
wiadomosc_faktura.formularz przekazu.pdf.pif
o bardzo niskim współczynniku wykrywalności na VirusTotal (5/54). W pliku zapewne znajduje się klient botnetu lub jego downloader, pytanie tylko, czy numer konta w treści wiadomości to kolejny kanał generowania przychodów, czy zwykła zmyłka?
Za podesłanie informacji dziękujemy Tomkowi oraz Grzegorzowi.
Komentarze
My dostajemy mnóstwo maili „od firm kurierskich” również z informacją o fakturze i dołączonym plikiem ZIP. Wszystkie te wiadomości z domeną właściwą dla danego kuriera… zastanawiamy się jak to możliwe… oczywiście wszystkie hurtem traktujemy jako wiadomości fałszywe.
Informacja o zaległości i dość autentycznie wyglądające wiadomości mają głównie skłonić do otworzenia załącznika, gdyż psychologicznie sądzimy, że w załączeniu znajdziemy więcej szczegółów odnośnie bulwersującej nas i nieprawdziwej zaległości.
Wysyłane są już również tego typu wiadomości od „T-mobile”. Kwoty to około 190,00 zł.
Kolejna generacja Tinby + Zeusa :)
Konto bankowe „należy” do użytkownika http://allegro.pl/show_user.php?uid=2533390 – mariok12, który jest na Allegro od ponad 10 lat…
HTH.
@Stkop
Przyjrzyj się nagłówkom maila a nie tylko polu „From” które widzisz w programie pocztowym i zatrudnij postmastera.
Return-path:
Envelope-to: !HIDE!
Delivery-date: Wed, 30 Jul 2014 14:53:33 +0200
Received: from rtr.npa.pl ([91.188.97.250]) by !HIDE! with esmtp
(envelope-from ) id !HIDE! for
!HIDE!; Wed, 30 Jul 2014 !HIDE! +0000
Received: from [67.134.175.193] (helo=!HIDE!.sgwpchcg.ua) by rtr.npa.pl
with esmtpa (Exim 4.69) (envelope-from ) id !HIDE! for
!HIDE!; Wed, 30 Jul 2014 !HIDE! +0100
From: T-Mobile faktura
To:
Subject: T-Mobile: Twoją miesięczną f@kturę
Date: Wed, 30 Jul 2014 !HIDE! +0100
MIME-Version: 1.0
X-Priority: 3
Message-ID:
Jak widać mamy polski „akcent” ;)
Ciekawe…
Ktos moze juz analizowal gdzie lezy c&c ?