Fałszywy wyciek prawdziwych danych użytkowników Chomikuj.pl

dodał 9 sierpnia 2014 o 00:16 w kategorii Socjo  z tagami:
Fałszywy wyciek prawdziwych danych użytkowników Chomikuj.pl

W połowie lipca w sieci pojawił się plik zawierający loginy i hasła kilkudziesięciu użytkowników Chomikuj.pl, wskazujące na wyciek z tego serwisu. Choć dane były prawdziwe, to wycieku nie było, a za incydentem prawdopodobnie stał nam znany „Thomas”.

Od pewnego czasu obserwujemy i opisujemy ataki na polskich internautów, prowadzone przez osobę ukrywająca się pod pseudonimem Thomas. Część z nich opiera się o rozsyłane pliki DOC, wyposażone w makro infekujące czytelników oraz odpowiedni przekaz socjotechniczny, mający nakłonić do uruchomienia makra. Tym razem przynętą była lista haseł użytkowników Chomikuj.pl.

Wyciek, którego nie było

Około 18 lipca w sieci pojawił się plik pod nazwą

Zawartość pliku wyglądała następująco:

Plik po otwarciu

Plik po otwarciu

Treść dokumentu sugerowała, że na początku maja doszło do włamania do Chomikuj.pl, a za incydentem stoi ktoś powiązany z serwisem devilteam.pl. Co ciekawe, lista 40 par email:hasło prawdopodobnie była prawdziwa (ich hasła zostały już zresetowane przez serwis). Co więcej, oryginalny plik był również umieszczony w serwisie Chomikuj.pl.

Ten sam plik w chomikuj.pl

Ten sam plik w chomikuj.pl

W oparciu o dwa niezależne źródła ustaliliśmy, że w rzeczywistości do włamania nie doszło, „kierownictwo” devilteam.pl o sprawie nie ma pojęcia, zaś loginy i hasła prawdopodobnie zostały wykradzione z zainfekowanych komputerów. Po co zatem ktoś opublikował taki dokument?

Przynęta do infekcji

Plik DOC zawierał kod makro, które po uruchomieniu pobierało z sieci i wykonywało plik ze złośliwym oprogramowaniem. Widzieliśmy już wiele prawie identycznych przypadków – zmieniała się tylko metoda zachęcania użytkowników do uruchomienia makro. Tak jak we wcześniejszych opisywanych przez nas incydentach autorem pliku DOC jest tajemniczy „Thomas”. Plik wykonywalny był pobierany z adresu

Ten sam adres był już wykorzystywany do serwowania chociażby także nam znanych „raportów z Krajowego Rejestru Dłużników”. Wygląda zatem na to, że ten sam atakujący ciągle szuka nowych ścieżek pozyskiwania swoich ofiar. [Uwaga! Nie zalecamy odwiedzania strony bogumil.webd.pl, ponieważ próbuje poprzez aplet Javy infekować użytkowników]

Nie jest do końca jasne, czyj komputer miał w tym wypadku wpaść w ręce włamywacza. Mogła to być zarówno próba zachęcenia do pobrania pliku przez większą rzeszę użytkowników jak i atak wycelowany w bardzo wąską ich grupę. Za tą pierwszą teorią przemawia fakt umieszczenia pliku w Chomikuj.pl, jednak został stamtąd dość szybko usunięty, a nie znaleźliśmy śladów jego dalszej dystrybucji. Jeśli widzieliście powyższy dokument zanim zajrzeliście do naszego serwisu, to dajcie proszę znać.

Z pomoc w opracowaniu artykułu dziękujemy zespołowi CERT Polska.

PS. Pozdrawiamy Thomasa i prosimy o kontakt w mniej natarczywej formie niż tysiące różnych żądań do serwera.