Otrzymujemy liczne sygnały, że byli oraz obecni klienci firmy hostingowej Śląsk Data Center otrzymują złośliwy plik udający fakturę od tego właśnie dostawcy. Co gorsza, faktura dociera na adresy email podawane jedynie tej firmie.
Ataki przestępców są tym niebezpieczniejsze, im lepiej są dostosowane do tego, czego spodziewają się przyszłe ofiary. Wyjątkowo groźne są zatem sytuacje, gdy odbiorcami złośliwego oprogramowania udającego fakturę pewnej firmy są jej prawdziwi klienci. Z takim przypadkiem najwyraźniej mamy własnie do czynienia.
Atak wycelowany
Około godziny 13 do wąskiego grona odbiorców trafiły wiadomości o temacie faktura, slaskdatacenter. Wyglądały one tak:
—
Tomasz Milczarek
SlaskDatacenter.pl
Ul. Rembertowska 2/4
02-540 Wrocław
W załączniku znajdował się plik FV_12_01_2015.zip, w nim z kolei plik FV_12_01_2015.doc wyglądający tak:
Jeśli odbiorca pliku włączy makra, dojdzie do pobrania i uruchomienia pliku z adresu
http://nobelis.cba.pl/s/date.txt
Opis pliku:
- MD5: 12990ed3b02ece1c28b2c8e66a77405e
- Virus Total
- koń trojański NetWire
- serwer C&C 213.152.162.181:3835
Uważni czytelnicy naszego serwisu łatwo rozpoznają, że jest to kampania tego samego autora co opisywany przez nas kilka dni temu przypadek rozsyłania fałszywych faktur. Zgadzają się praktycznie wszystkie istotne szczegóły ataku, nowością jest jedynie wybór ofiar.
Komuś baza wyciekła?
Wiemy już o co najmniej 3 przypadkach, kiedy to złośliwa wiadomość dotarła na adresy byłych i obecnych klientów Śląsk Data Center. Co więcej, jeden z nich otrzymał wiadomość na adres, który podawał tylko temu dostawcy. Sama firma najwyraźniej poczuła zagrożenie, ponieważ bardzo szybko rozesłała do wszystkich swoich byłch i obecnych klientów komunikat ostrzegawczy o treści:
W dniu dzisiejszym nasza firma padła ofiarą oszustwa, podszywając się pod markę Śląsk DATA CENTER rozsyłano maile z informacją o rzekomej zaległości, wiadomość mail zawierała załącznik – spakowany plik ZIP z faktura w formacie doc, prosimy nie otwiera załącznika to wirus infekujący system, jeśli plik został otwarty system został zainfekowany, należy odwirusować system programem antywirusowym i antyszpiegowskim, polecane aplikacje antywirusowe to Avast, Comodo, ESET NOD32, aplikacje antyspame Malwarebytes Anti-Malware, Spybot – Search & Destroy.
Prosimy o ostrożność, naszcz dział techniczny służy pomocą.
(wszystkie błędy zachowane w oryginalnej formie).
Najwyraźniej komunikację tworzono w pośpiechu, ponieważ zabrakło w niej informacji o tym, skąd atakujący posiadał adresy email klientów firmy… Jeśli dostaliście wirusa, to dajcie znać, od kiedy macie (lub mieliście) konto u tego dostawcy – pomoże to ustalić datę możliwego wycieku.
Dziękujemy anonimowym informatorom podsyłającym próbki.
Komentarze
Kiedyś hasła trzymali jako plaintext – ciekawe czy się to zmieniło..
Sprawdzaliśmy w 2013, nie wysyłali plaintekstu do klientów w procesie odzyskiwania.
https://panel.sldc.eu/clientarea.php – panel klienta niedostępny, nie można korzystać z wykupionej usługi.
Zablokowany jest system obsługi konta, więc pewnie z niego wyciekły dane:
https://panel.sldc.eu/cart.php?a=add&pid=176
Również otrzymałem tego maila na alias pocztowy który był podawany tylko do usługi hostingowej.
panel.sldc.eu dziala na WHMCS – teraz wyswietla sie jego najnowsza wersja woec prawdopodobnie byl to hack na stara wersje z galezi 5.x
Ta firma i powiązane z nią firmy tak mają :) Wszystko na kolanie, w pośpiechu, na shared hostingach kiedyś dało się odczytać dowolny plik ( -etc-passwd itd), faktury wystawiają na złe kwoty, a nawet dwa razy (sami przez siebie oraz firma-córka), utrudniają przeniesienie domeny, nie wysyłają powiadomień o kończącym się terminie, tylko blokują domenę.
Porażka, nie firma.
widać po tym jak fachowo zredagowane jest to oświadczenie :) plus comodo i avast, dobry żart
A co jest złego w odczytaniu passwd? ;)
mail przyszedł z hostingu hekko
możliwe że to wyciek danych z hekko
nie przyszedł na maila używanego w slaskim
aczkolwiek z rok czy 2 temu zmieniałem maila
po za tym z panelem i usługą wszystko w porządku
Mam konto w sldc od 3 stycznia bieżącego roku.
Nie dostałem żadnego maila z fakturą.
A podawałeś im może skrzynkę na gmailu?
Tak, na gmailu.
Podeśle Ci jeszcze jedną ciekawostkę mailem.
Na gmaila atak nie był wysyłany – atakujący wiedział zapewne, że gmail sobie z takimi plikami dobrze radzi :)
[Aktualizacja – na gmaila też dostaliście, co jest o tyle ciekawe, że na nasze konto, założone w 2013, spam nie dotarł…]
mi przyszlo na gmail do spamu
Ja mam konto na gmailu i mail trafił do spamu. Ciekawe czy prócz maili wyciekły im dane klientów :/
Ogólnie powiem że to beznadziejny hosting, prócz pojemności 4GB to nie ma żadnych innych zalet, co chwile coś im nie działało więc po miesiącu przeniosłem wszystko na inny hosting!
Jak na razie to było najgorzej zainwestowane 15zł w życiu!
@Adam – na gmaila poszło (do mnie – na jedno konto)
Posiadałem tam vps przez miesiąc około 2 lata temu.
Dostałem tego maila z fakturą – nawet nie otwierałem.
Mail na gmailu i trafił jako SPAM.
Korzystałem z ich usług w 2013/2014.
Miałem tam ustawionego gmaila we własnej domenie i widzę tą złośliwą wiadomość w folderze spam. Nie miałem nigdy konta w hekko.
Nie korzystam z ich hostingu od dawna, ale współpracę zacząłem 1.2014.
Mam konto na Gmailu i dostałem takiego samego maila z tym, że trafił automatycznie do spamu.
Adam, dostałeś maila?