Możliwy wyciek danych i atak na klientów Śląsk Data Center

dodał 12 stycznia 2016 o 15:07 w kategorii Złośniki  z tagami:
Możliwy wyciek danych i atak na klientów Śląsk Data Center

Otrzymujemy liczne sygnały, że byli oraz obecni klienci firmy hostingowej Śląsk Data Center otrzymują złośliwy plik udający fakturę od tego właśnie dostawcy. Co gorsza, faktura dociera na adresy email podawane jedynie tej firmie.

Ataki przestępców są tym niebezpieczniejsze, im lepiej są dostosowane do tego, czego spodziewają się przyszłe ofiary. Wyjątkowo groźne są zatem sytuacje, gdy odbiorcami złośliwego oprogramowania udającego fakturę pewnej firmy są jej prawdziwi klienci. Z takim przypadkiem najwyraźniej mamy własnie do czynienia.

Atak wycelowany

Około godziny 13 do wąskiego grona odbiorców trafiły wiadomości o temacie faktura, slaskdatacenter. Wyglądały one tak:

Fałszywa wiadomość

Fałszywa wiadomość

W załączniku faktura z 7-dniowym terminem płatności, .


Tomasz Milczarek
SlaskDatacenter.pl
Ul. Rembertowska 2/4
02-540 Wrocław

W załączniku znajdował się plik FV_12_01_2015.zip, w nim z kolei plik FV_12_01_2015.doc wyglądający tak:

Fałszywa faktura

Fałszywa faktura

Jeśli odbiorca pliku włączy makra, dojdzie do pobrania i uruchomienia pliku z adresu

Opis pliku:

  • MD5: 12990ed3b02ece1c28b2c8e66a77405e
  • Virus Total
  • koń trojański NetWire
  • serwer C&C 213.152.162.181:3835

Uważni czytelnicy naszego serwisu łatwo rozpoznają, że jest to kampania tego samego autora co opisywany przez nas kilka dni temu przypadek rozsyłania fałszywych faktur. Zgadzają się praktycznie wszystkie istotne szczegóły ataku, nowością jest jedynie wybór ofiar.

Komuś baza wyciekła?

Wiemy już o co najmniej 3 przypadkach, kiedy to złośliwa wiadomość dotarła na adresy byłych i obecnych klientów Śląsk Data Center. Co więcej, jeden z nich otrzymał wiadomość na adres, który podawał tylko temu dostawcy. Sama firma najwyraźniej poczuła zagrożenie, ponieważ bardzo szybko rozesłała do wszystkich swoich byłch i obecnych klientów komunikat ostrzegawczy o treści:

Informacja!!!

W dniu dzisiejszym nasza firma padła ofiarą oszustwa, podszywając się pod markę Śląsk DATA CENTER rozsyłano maile z informacją o rzekomej zaległości, wiadomość mail zawierała załącznik – spakowany plik ZIP z faktura w formacie doc, prosimy nie otwiera załącznika to wirus infekujący system, jeśli plik został otwarty system został zainfekowany, należy odwirusować system programem antywirusowym i antyszpiegowskim, polecane aplikacje antywirusowe to Avast, Comodo, ESET NOD32, aplikacje antyspame Malwarebytes Anti-Malware, Spybot – Search & Destroy.

Prosimy o ostrożność, naszcz dział techniczny służy pomocą.

(wszystkie błędy zachowane w oryginalnej formie).

Najwyraźniej komunikację tworzono w pośpiechu, ponieważ zabrakło w niej informacji o tym, skąd atakujący posiadał adresy email klientów firmy… Jeśli dostaliście wirusa, to dajcie znać, od kiedy macie (lub mieliście) konto u tego dostawcy – pomoże to ustalić datę możliwego wycieku.

Dziękujemy anonimowym informatorom podsyłającym próbki.