12.01.2016 | 15:07

Adam Haertle

Możliwy wyciek danych i atak na klientów Śląsk Data Center

Otrzymujemy liczne sygnały, że byli oraz obecni klienci firmy hostingowej Śląsk Data Center otrzymują złośliwy plik udający fakturę od tego właśnie dostawcy. Co gorsza, faktura dociera na adresy email podawane jedynie tej firmie.

Ataki przestępców są tym niebezpieczniejsze, im lepiej są dostosowane do tego, czego spodziewają się przyszłe ofiary. Wyjątkowo groźne są zatem sytuacje, gdy odbiorcami złośliwego oprogramowania udającego fakturę pewnej firmy są jej prawdziwi klienci. Z takim przypadkiem najwyraźniej mamy własnie do czynienia.

Atak wycelowany

Około godziny 13 do wąskiego grona odbiorców trafiły wiadomości o temacie faktura, slaskdatacenter. Wyglądały one tak:

Fałszywa wiadomość

Fałszywa wiadomość

W załączniku faktura z 7-dniowym terminem płatności, .


Tomasz Milczarek
SlaskDatacenter.pl
Ul. Rembertowska 2/4
02-540 Wrocław

W załączniku znajdował się plik FV_12_01_2015.zip, w nim z kolei plik FV_12_01_2015.doc wyglądający tak:

Fałszywa faktura

Fałszywa faktura

Jeśli odbiorca pliku włączy makra, dojdzie do pobrania i uruchomienia pliku z adresu

http://nobelis.cba.pl/s/date.txt

Opis pliku:

  • MD5: 12990ed3b02ece1c28b2c8e66a77405e
  • Virus Total
  • koń trojański NetWire
  • serwer C&C 213.152.162.181:3835

Uważni czytelnicy naszego serwisu łatwo rozpoznają, że jest to kampania tego samego autora co opisywany przez nas kilka dni temu przypadek rozsyłania fałszywych faktur. Zgadzają się praktycznie wszystkie istotne szczegóły ataku, nowością jest jedynie wybór ofiar.

Komuś baza wyciekła?

Wiemy już o co najmniej 3 przypadkach, kiedy to złośliwa wiadomość dotarła na adresy byłych i obecnych klientów Śląsk Data Center. Co więcej, jeden z nich otrzymał wiadomość na adres, który podawał tylko temu dostawcy. Sama firma najwyraźniej poczuła zagrożenie, ponieważ bardzo szybko rozesłała do wszystkich swoich byłch i obecnych klientów komunikat ostrzegawczy o treści:

Informacja!!!

W dniu dzisiejszym nasza firma padła ofiarą oszustwa, podszywając się pod markę Śląsk DATA CENTER rozsyłano maile z informacją o rzekomej zaległości, wiadomość mail zawierała załącznik – spakowany plik ZIP z faktura w formacie doc, prosimy nie otwiera załącznika to wirus infekujący system, jeśli plik został otwarty system został zainfekowany, należy odwirusować system programem antywirusowym i antyszpiegowskim, polecane aplikacje antywirusowe to Avast, Comodo, ESET NOD32, aplikacje antyspame Malwarebytes Anti-Malware, Spybot – Search & Destroy.

Prosimy o ostrożność, naszcz dział techniczny służy pomocą.

(wszystkie błędy zachowane w oryginalnej formie).

Najwyraźniej komunikację tworzono w pośpiechu, ponieważ zabrakło w niej informacji o tym, skąd atakujący posiadał adresy email klientów firmy… Jeśli dostaliście wirusa, to dajcie znać, od kiedy macie (lub mieliście) konto u tego dostawcy – pomoże to ustalić datę możliwego wycieku.

Dziękujemy anonimowym informatorom podsyłającym próbki.

Powrót

Komentarze

  • 2016.01.12 15:44 ar4s

    Kiedyś hasła trzymali jako plaintext – ciekawe czy się to zmieniło..

    Odpowiedz
    • 2016.01.12 16:16 Adam

      Sprawdzaliśmy w 2013, nie wysyłali plaintekstu do klientów w procesie odzyskiwania.

      Odpowiedz
  • 2016.01.12 16:31 Paweł

    https://panel.sldc.eu/clientarea.php – panel klienta niedostępny, nie można korzystać z wykupionej usługi.

    Odpowiedz
  • 2016.01.12 16:38 Adrian

    Zablokowany jest system obsługi konta, więc pewnie z niego wyciekły dane:
    https://panel.sldc.eu/cart.php?a=add&pid=176

    Odpowiedz
  • 2016.01.12 17:00 hippo

    Również otrzymałem tego maila na alias pocztowy który był podawany tylko do usługi hostingowej.

    Odpowiedz
  • 2016.01.12 17:37 Gru

    panel.sldc.eu dziala na WHMCS – teraz wyswietla sie jego najnowsza wersja woec prawdopodobnie byl to hack na stara wersje z galezi 5.x

    Odpowiedz
  • 2016.01.12 17:38 dzek

    Ta firma i powiązane z nią firmy tak mają :) Wszystko na kolanie, w pośpiechu, na shared hostingach kiedyś dało się odczytać dowolny plik ( -etc-passwd itd), faktury wystawiają na złe kwoty, a nawet dwa razy (sami przez siebie oraz firma-córka), utrudniają przeniesienie domeny, nie wysyłają powiadomień o kończącym się terminie, tylko blokują domenę.

    Porażka, nie firma.

    Odpowiedz
    • 2016.01.13 00:07 K6T

      widać po tym jak fachowo zredagowane jest to oświadczenie :) plus comodo i avast, dobry żart

      Odpowiedz
    • 2016.01.13 14:02 kiler129

      A co jest złego w odczytaniu passwd? ;)

      Odpowiedz
  • 2016.01.12 18:09 zlotowinfo

    mail przyszedł z hostingu hekko

    możliwe że to wyciek danych z hekko
    nie przyszedł na maila używanego w slaskim
    aczkolwiek z rok czy 2 temu zmieniałem maila

    po za tym z panelem i usługą wszystko w porządku

    Odpowiedz
  • 2016.01.12 20:23 Łukasz

    Mam konto w sldc od 3 stycznia bieżącego roku.
    Nie dostałem żadnego maila z fakturą.

    Odpowiedz
    • 2016.01.12 20:24 Adam

      A podawałeś im może skrzynkę na gmailu?

      Odpowiedz
  • 2016.01.12 20:29 Łukasz

    Tak, na gmailu.
    Podeśle Ci jeszcze jedną ciekawostkę mailem.

    Odpowiedz
    • 2016.01.12 20:47 Adam

      Na gmaila atak nie był wysyłany – atakujący wiedział zapewne, że gmail sobie z takimi plikami dobrze radzi :)

      [Aktualizacja – na gmaila też dostaliście, co jest o tyle ciekawe, że na nasze konto, założone w 2013, spam nie dotarł…]

      Odpowiedz
      • 2016.01.12 21:15 Q

        mi przyszlo na gmail do spamu

        Odpowiedz
  • 2016.01.12 21:47 Robert

    Ja mam konto na gmailu i mail trafił do spamu. Ciekawe czy prócz maili wyciekły im dane klientów :/

    Ogólnie powiem że to beznadziejny hosting, prócz pojemności 4GB to nie ma żadnych innych zalet, co chwile coś im nie działało więc po miesiącu przeniosłem wszystko na inny hosting!
    Jak na razie to było najgorzej zainwestowane 15zł w życiu!

    Odpowiedz
  • 2016.01.12 21:50 nss

    @Adam – na gmaila poszło (do mnie – na jedno konto)

    Odpowiedz
  • 2016.01.13 06:33 Kacper

    Posiadałem tam vps przez miesiąc około 2 lata temu.
    Dostałem tego maila z fakturą – nawet nie otwierałem.
    Mail na gmailu i trafił jako SPAM.

    Odpowiedz
  • 2016.01.13 07:47 SystemZ

    Korzystałem z ich usług w 2013/2014.
    Miałem tam ustawionego gmaila we własnej domenie i widzę tą złośliwą wiadomość w folderze spam. Nie miałem nigdy konta w hekko.

    Odpowiedz
  • 2016.01.13 08:55 K

    Nie korzystam z ich hostingu od dawna, ale współpracę zacząłem 1.2014.
    Mam konto na Gmailu i dostałem takiego samego maila z tym, że trafił automatycznie do spamu.

    Odpowiedz
  • 2016.01.13 12:27 Łukasz

    Adam, dostałeś maila?

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Możliwy wyciek danych i atak na klientów Śląsk Data Center

Komentarze