Grupa Pocztowa, czyli kto zasypywał skrzynki fałszywymi wiadomościami od Poczty Polskiej

dodał 14 października 2015 o 16:20 w kategorii Główna, Złośniki  z tagami:
Grupa Pocztowa, czyli kto zasypywał skrzynki fałszywymi wiadomościami od Poczty Polskiej

Większość z Was pewnie pamięta falę wiadomości udających powiadomienia o nadesłanej przesyłce rzekomo wysyłane przez Pocztę Polską. Tę kampanię oraz wiele innych prowadzonych przez tych samych sprawców przeanalizował CERT Polska.

Przed chwilą w sieci pojawił się obszerny raport autorstwa zespołu CERT Polska poświęcony Grupie Pocztowej, nazwanej tak ze względu na jeden z podstawowych rodzajów jej przestępczej działalności. Przyjrzyjmy się jego ustaleniom.

Nie tylko poczta

Główny sposobem działania przestępców przez dłuższy czas pozostawało rozsyłanie spamu podszywającego się pod urzędy pocztowe różnych krajów i nakłaniającego do instalacji złośliwego oprogramowania. Co ciekawe, oprócz wersji dla systemów Windows, grupa proponowała także odpowiednie złośliwe oprogramowanie dla Androida. Celem ataków byli nie tylko Polacy – zaobserwowano kampanie podszywające się pod urzędy pocztowe z Australii, Hiszpanii, Wielkiej Brytanii oraz Danii. W innym wariancie wykorzystywano również wiadomości udające mandaty za wykroczenia w ruchu drogowym.

Dzięki temu, że firma Logical Trust przechwyciła logi z niektórych serwerów użytych w kampaniach spamerskich możemy spojrzeć na częściowe statystyki ich skuteczności. Spośród nieco ponad 15 tysięcy odwiedzin na serwerze zawierającym rzekome informacje o przesyłce (w postaci pliku EXE) ponad 40% zakończyło się pobraniem pliku. Nie wiemy, jaki procent użytkowników plik uruchomił – trudno jednak założyć, ze wszyscy byli badaczami bezpieczeństwa.

Statystyki pobrań złośliwego oprogramowania

Statystyki pobrań złośliwego oprogramowania

Pliki wykonywalne pobierane przez zaatakowanych użytkowników mogły zawierać całe spektrum złośliwego oprogramowania. Znaleźć tam można było między innymi TorrentLockera, Andromedę, Slave’a, Banatriksa i OpFake (Android). Ta sama grupa specjalizowała się również w rozsyłaniu swojego oprogramowania w wielokrotnie przez nas opisywanych wiadomościach zawierających archiwum zabezpieczone hasłem, najczęściej powołując się na nieopłacone faktury lub dokumenty sądowe.

Korelację działania grupy umożliwiały nie tylko podobne metody dystrybucji czy też analogie w wykorzystywaniu złośliwego oprogramowania. Również domeny używane przez grupę były rejestrowane w podobny sposób przy użyciu podobnych danych a same strony ze złośliwym oprogramowaniem lub pełniące funkcję serwerów C&C znajdowały się w tym samym fragmencie sieci. Szczególnie charakterystyczny był adres IP 46.161.30.225, pod którym znaleźć można było domeny

  • wholetdiedogsout.com,
  • bounaromnabouna.org,
  • pocztapolska.biz.

Inne charakterystyczne adresy używane przez grupę to:

  • poczta-polska.info,
  • polskapoczta.net,
  • poczta-sledzenie.com,
  • polska-poczta.com.

Podsumowanie

Trzeba przyznać, że grupa prowadzi szeroką działalność na wielu frontach. Nadal widujemy jej wiadomości oraz ruch do wymienionych powyżej serwerów C&C. To pokazuje, że nawet zdemaskowanie lokalizacji infrastruktury przestępców niekoniecznie musi prowadzić do jej zablokowania lub usunięcia. Miejmy zatem nadzieję, że może ten raport pomoże trochę przeszkodzić w realizacji przestępczych celów.