szukaj

12.10.2018 | 16:08

avatar

Adam Haertle

Najnowsza kampania e-mailowych oszustów „Paczka czeka”

Oszuści, których działania opisujemy od kilku dni, nie próżnują. Po kampaniach podszywających się pod ZUS i firmę KRUK przyszedł teraz czas na firmę InPost. Wiadomość jest prymitywna, ale niestety jak zwykle ofiar ataku nie brakuje.

Przestępcy od środy testują różne metody doręczania złośliwych plików. Zaczynali od exploitów w plikach RTF na darmowych hostingach (nie udało się), potem przeszli do złośliwych plików serwowanych bezpośrednio z darmowych hostingów (średnio się udało, bo hosting usunął plik po kilku godzinach), a dzisiaj zdecydowali się na własny hosting.

Wiadomość „Paczka czeka”

Złośliwa wiadomość wygląda następująco:

Cała jej treść to jeden obrazek pobierany z adresu:

https://i.imgur.com/3nEmUwT.png

a kliknięcie w niego prowadzi do adresu:

https://paczkomat24.info/andd33.html

Tam użytkownik przekierowywany jest do adresu:

https://paczkomat24.info/index.php

skąd automatycznie pobierany jest złośliwy plik EXE:

InPost.exe
SHA1: 5011a71b00bd4840e402cb6a27aeb52743c8c677
VT: https://www.virustotal.com/#/file/f42a0fff1df54cfa556308b72c6632156af16d4d46e2820bf47efa01304b6743/details

W pliku znajduje się ten sam koń trojański co w środę czy czwartek, czyli Kronos.

Powrót

Komentarze

  • avatar
    2018.10.12 17:32 Cagiva

    To samo hxxps://odbierzpaczke.com/andd33.html z bankerem app123.apk aktualnie strona przebywa pod sporym dosem więc nikt się nie zainfekuje :)

    Odpowiedz
  • avatar
    2018.10.12 18:20 DuzyNos

    W jakim celu tworzone sa taki posrednie pliki jak: andd33.html skoro i tak pozniej robia przekierowania do innych lokalizacji? Czy ma to na celu zacienienie sciezki ataku, czy inny jest powod?

    Odpowiedz
    • avatar
      2018.10.12 19:46 Cagiva

      @DuzyNos na andd33.html jest serwowany malware na androida. Przynajmniej na tej witrynie co podałem wyżej.

      Odpowiedz
      • avatar
        2018.10.12 22:33 vv

        czyli androidy przekierowuje do jednego pliku, a windowsy do drugiego?

        Odpowiedz
  • avatar
    2018.10.12 21:56 vv

    a z jakim C&C łączy się ten Kronos? za każdym razem domena onion?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Najnowsza kampania e-mailowych oszustów „Paczka czeka”

Komentarze