Nowa fala ataków na skrzynki Polaków – na celowniku Multimedia i Alior Bank

dodał 24 kwietnia 2017 o 14:30 w kategorii Złośniki  z tagami:
Nowa fala ataków na skrzynki Polaków – na celowniku Multimedia i Alior Bank

Minęło już kilka tygodni od poprzedniego ataku naszego ulubionego przestępcy internetowego, zatem spodziewaliśmy się kolejnej fali wiadomości z załącznikami w JavaScripcie – i jak zwykle się nie zawiedliśmy. Czas na nowe szablony.

W styczniu mieliśmy DPD i Playa, w lutym Zarę i kancelarie, w marcu TPay, PayU i Netię, z kolei w kwietniu przyszła kolej najpierw na wiadomości podszywające się pod  mBank, a teraz także Alior Bank oraz Multimedia Polska. Wszystkie te ataki mają tyle punktów wspólnych, że z dużym prawdopodobieństwem możemy przypisać je temu samemu sprawcy.

Fałszywe wiadomości

Od piątku 21 marca do skrzynek Polaków trafiają wiadomości podszywające się pod Multimedia. Trafiają codziennie – mamy już próbki z kolejnych czterech dni. Wiadomość wygląda następująco (nie obserwowaliśmy żadnych zmian):

Witaj ,
Uprzejmie informujemy, iz w dniu 21.04.2017 zostala wystawiona eFaktura (faktura w wersji elektronicznej) o numerze FVT/MMP/00220408/0317 na kwote 65,01 zl z terminem platnosci przypadajacym na dzien 31.04.2017.

eFaktura zostala udostepniona w postaci zaszyfowanego pliku haslo do otwarcia: WUhZ

Kwota do zaplaty wynikajaca z eFaktury i Dokumentów Abonenckich wynosi 81,00 zl. Zaplac za pomoca eBOK

Dziekujemy za terminowe dokonanie wplaty.

W przypadku pytan prosimy o skorzystanie z formularza kontaktowego dostepnego w naszym serwisie eBOK lub kontakt z nasza Infolinia 244 244 244.

Pozdrawiamy,
Multimedia Polska S.A.

Wiadomość przychodzi ze sfałszowanego adresu używanego przez Multimedia Polska do rozsyłania swoich faktur, również treść jest w dużym stopniu zgodna z zazwyczaj używanym szablonem (chociaż charakterystyczny dla oszustwa jest brak polskich liter, a dla osób spostrzegawczych także data 31go kwietnia). Główną różnicą jest oczywiście załącznik, zawierający dobrze nam już znanego konia trojańskiego vjw0rm. W archiwum

zabezpieczonym hasłem podanym w emailu znajduje się folder

a w nim z kolei plik

Plik jest zaciemniony w dość charakterystyczny sposób i wygląda tak:

Po odkryciu właściwego kodu znaleźć możemy starego dobrego vjw0rma oraz informacje o używanych przez niego serwerach C&C (dane znajdziecie pod koniec artykułu).

Nie tylko Multimedia

Dostaliśmy od Was bardzo dużo próbek kampanii powiązanej z marką Multimedia i tylko jedną związaną z Alior Bankiem. Najwyraźniej ta druga kampania miała nieco mniejszy zasięg, niemniej wygląda na tego samego autora, ponieważ zawiera podobny załącznik z tym samym serwerem C&C.

Ślady przestępcy

Autor tych kampanii najwyraźniej nie stara się ukrywać powiązań pomiędzy poszczególnymi wysyłkami. Mogliśmy przeanalizować różne próbki i wszystkie wiadomości były wysłane z tego samego adresu należącego do OVH, za pośrednictwem albo darmowego hostingu ivi.pl, albo hostingu nazwa.pl. Oto kolejne nagłówki z 4 dni:

Używane przez przestępcę serwery C&C vjw0rma:

Skróty zaciemnionego pliku JS:

Serwer kwiecien2017.proxydns.com ma adres IP 185.75.59.202, który jest nam znany z kampanii podszywającej się pod mBank (tam złośliwe pliki pobierane były z domeny kwieciencc.pdns.cz spod tego samego adresu IP). Z kolei domena kwiecien2017.pdns.cz skakała ostatnio po różnych adresach IP, z których jeden (154.16.195.150) był także powiązany z domeną kwiecien2017.proxydns.com.

Podsumowując charakterystykę ataku:

  • wykorzystanie polskich marek,
  • wykorzystanie prawdziwych szablonów wiadomości,
  • archiwum z hasłem,
  • zaciemniony JavaScript,
  • vjw0rm,
  • serwery C&C oparte o darmowe serwery DNS,
  • wysyłka emaili z serwerów nazwa.pl.

Spodziewamy się, że po naszej publikacji zakończy się trwająca od 4 dni kampania pod szyldem Multimedia Polska. Pytanie, co przyjdzie następnego…

Dziękujemy wszystkim Czytelnikom, którzy dostarczyli nam swoje próbki złośliwych wiadomości.