Czasem mamy wrażenie, że są przestępcy, dla których oszukiwanie i okradanie internautów to zwykła praca, którą wykonują po 8 godzin dziennie. Przykładem takim może być niestrudzony fiat126pteam, który wystartował z kolejną kampanią.
Mimo naszych wysiłków najwyraźniej ciągle jeszcze nie wszyscy Polacy wiedzą, że trzeba uważać na wiadomości z linkami do fałszywych dokumentów MS Office. Sugeruje to stałe wykorzystanie tego motywu w kampaniach fiat126pteam mimo ich wielokrotnego nagłośnienia. Tym razem wygląda na to, ze na celowniku atakujących są firmy księgowe.
Pytanie o usługi księgowe
W wiadomości o temacie „Pytanie o cenę analizy dla klienta” rozsyłanej dzisiaj od około południa możemy znaleźć następującą treść:
Zwracam się z pytaniem o przedstawienie cennika analizy dla naszego klienta biznesowego. Kluczową sprawą jest dla nas czas, analiza będzie niezbędną w trwającym postępowaniu i musi zostać przedłożona w terminie nie późniejszym niż 30 września (środa). Oczywiście gdyby takowa usługa spowodowała wzrost ceny zlecenia jesteśmy na to przygotowani.
Nasz klient przekształcił formę prawną firmy, z tego powodu powstały problemy związane z zaległościami księgowymi oraz poprzednimi wierzycielami. Potrzebujemy możliwie jak najszybszej informacji zwrotnej czy są w stanie Państwo podjąć się tego typu zlecenia.
Przedstawiam wszystkie niezbędne dokumenty dla poglądu sytuacji i proszę o wiadomość zwrotną.
http://docs.mpartners.eu/?fname=kacperski_dokumenty_podatnik_ZM83294301.doc
Liczę, że jest to wystarczający rozpis dokumentów, który posłuży do wyceny.
Z poważaniem,
Rafał Zygmunt
Adwokat prowadzący
Kancelaria mPartners
[email protected]
NIP:7691229959 REGON: 140662170
Lwowska 55, 35-301 Rzeszów
Oczywiście link prowadzi do znanego już naszym Czytelnikom mechanizmu infekcji przez fałszywą wtyczkę MS Office:
Tradycyjna metoda infekcji
Tym razem atakujący zadbał o stronę rzekomej „kancelarii” która ma być nadawcą wiadomości. Sklonował w tym celu stronę istniejącej polskiej kancelarii podmieniając jedynie logo oraz modyfikując dane kontaktowe. Co ciekawe użył numeru NIP i REGON innej kancelarii (specjalnie zmodyfikowaliśmy te wartości w wiadomości powyżej by nie wikłać jej w tę sprawę). Z kolei nie zadbał już o witrynę, z której pobierany jest plik wykonywalny – na która zapewne i tak niewiele ofiar zagląda, bo plik pobierany jest w tle.
Tym razem nadawcą jest „kancelaria prawna”
Charakterystyka pliku wykonywalnego
Plik serwowany ofiarom pobierany jest z adresu
http://update.microsoftcenter.info/download/Office_app.exe
Próbka którą udało się nam pobrać:
- pierwsze wykrycie: 2015-09-14 16:50
- MD5: 504e0594dcce6acbdcdfbb844521be5f
- SHA1: ecd4b568e72cc4a170d63dacddf501e62f6f5349
- link do raportu VirusTotal (3/56)
- analiza Hybrid Analysis plus próbka do pobrania
- na dysku zostawia złośliwy plik apps365.exe
- plik docelowy zawiera ponownie Smoke Loadera
- adres C&C to lermonovels.eu/site/
Inne informacje
Domena mpartners.eu zarejestrowana została 13 września o 22:50 przez użytkownika który podał adres email [email protected] i znajduje się na serwerze 181.41.198.253 w Brazylii. Z kolei domena microsoftcenter.info zarejestrowana została 10 września około południa i znajduje się na serwerze 185.86.148.125 w Szwecji. Domena lermonovels.eu została zarejestrowana 10 września przez użytkownika który podał adres email [email protected] i znajduje się na serwerze 81.17.28.81.
Choć widzimy kilka zmian (klonowana strona, brak witryny „Microsoftu” i ta sama domena użyta do wysyłki wiadomości oraz hostowania fałszywego dokumentu), to pozostałe cechy ataku jednoznacznie wskazują na autorstwo fiat126pteam.
Dziękujemy użytkownikom, którzy podesłali próbki wiadomości.
Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside.
Komentarze
Wystarczy kasperczak na kompie i malwars sie nie przedostanie sie do systemu :)
Widzę, że kolega nadal wierzy w pieprzenie producentów antywirusów. Oszukanie antywirusa, jakiegokolwiek, to zadanie trywialne i zajmuje mniej więcej godzinę osobie obeznanej w asm.
Tak, w szczególności jeżeli wszystkie pliki nieautoryzowane przez admina ulegaja kontenerycacji ;-)
Tak, bo ty umiesz zablokować płyte główną przez adres ip i antywirusy cię nie zatrzymają bo masz większe prawa niż inni ;) https://www.youtube.com/watch?v=n6kUHM4jmqE
Te całe kampanie przestępcze dowodzą tego, że prawo i państwo zawiodło. Gdyby ścigać każdego rodzaju naruszenie prawa w Internecie, przestępcy trochę by przystopowali. A tak mamy codzienne ataki internetowe, które nawet nie zostałyby przyjęte jako zgłoszenie próby oszustwa i przestępczych działań. Dopiero jak kampania zbiera obfite żniwo, organy ścigania wkraczają do akcji. Zbyt długo pobłażali bandytom internetowym i na chwilę obecną jest już za późno.
Takich ludzi ciezko wytropic, potem trzeba znaledz dowody, wytoczyc sprawe … i cala lista rzeczy TODO.
Policja ma ciekawsze sprawy na glowie np: Uzytkownik X na forum Y wystawil 10 mp3! Bandyta, zlodziej i trzeba go solidnie ukarac, bo ZAIKS nie zarobil na tych 10 mp3 …
Właśnie dostałem e-maila z tym wirusem, dzięki za info :) Ciekawe, czy ktoś z księgowych się da nabrać…
ksiegowi byli do przewidzenia. ;)
Kto następny? Mleczarnie i zakłady przetwórstwa rybnego?
Ten cały fiateam to zwykła patologia. Fiateam musi mieć patologiczne pochodzenie. Matka od fiateam’a na pewno się puszczała a ojciec był pijakiem. Dlatego fiateam teraz się włamuje na potęge i rozsyła swoje chore załączniki:) No i te skojarzenie nazwy z maluchem – zapewne musi mieć małego, ha ha ha ha ha ha ha!
Fiateam to obciągacz z sieci Tor! Zwykłe pośmiewisko, pozuje na hakera a jest zwykłym idiotą.
Nie bulwersuj się tak, bo ci kredki z tornistra wypadną.
ciekawe ile kosztuje tak naprawde przykrycie piewszej afery „kancelarie prawne ” i stworzenie wrażenia, że w tej Polsce wszyscy zostali i są atakowani … i nie było by to takie dalekie od wrażenia, że robota trwa po 8 h dziennie :) no bo tak ; fiacik nie istniał przed „skokiem” :) na kancelarie, raczej sprawia wrażenie avatara na potrzebe chwili , oczywiscie trop prowadzi do Rosji bo gosc uzył słówka „Priviet” wooo Rosja nasz odwieczy wróg u bram ! :) , trochę psychologii, półprawd … pomieszanych ze zmyłkami i MAMY AFERE, na pewno nie jest to tanie i na pewno nie na fakture … kto został wynajęty ??? kto tak pracuje ???
Fiat zalewa polskie skrzynki mailowe, niczym uchodzccy z Syrii :(
Ja otworzyłem… co mam teraz robić aby to wywalić z komputera?
Żaden rozsądny księgowy chyba się na to nie nabierze. Przekształcenie formy prawnej spółki handlowej (albo 1 osobowego przedsiębiorcy w spółkę) wymaga sporządzenia bilansu – zamknięcia dla starego i otwarcia dla nowego podmiotu czyli już na tym etapie wiadomo o podmiocie wszystko. Sądzę, że tego typu wiadomości pod kątem merytorycznym będą wyłapane przez dobre biuro rachunkowe przez to mam nadzieję szansa kradzieży/włamań jest mniejsza.
Poddaj analizie sytuację z akcją „na wnuczka” itp. Niby wszędzie o tym trąbią a wciąż ludzie się nacinają :) Rozsądny czy nie rozsądny księgowy, za dwa lata dalej ludzie będą klikali w linki jak ktoś już to słusznie zauważył dając znać w komentarzach.
A ja im kibicuje. Nie od dziś wiadomo, że najlepiej uczyć się przez praktykę, administratorzy, z3s, koledzy z głową na karku – wszyscy mogą sobie gadać do śmierci a i tak pani Krysia i pan Zbyszek będą klikać w co popadnie bo mają po prostu problemy z myśleniem ze zrozumieniem. Straci szmal lub dane to może się nauczy.
*miało być z myśleniem i czytaniem ze zrozumieniem
:)
Fiat mówi, że to nie on.
Na problemy z myśleniem dobry jest ołów ;-)
Fajne są takie podsumowania, atakujący może sprawdzić jak tam postępy w analizie jego ataku, gdzie strzelił gafę, gdzie jakie dane ktoś wyłuskał co mógłby poprawić, co zmienić. Fajnie, fajnie. Lubię to.
A ja swojej mamie zainstalowałem Ubuntu w kancelarii :) Oczywiście nie ma systemu doskonałego ale masowe akcje wymierzone w windę odpadają.
Do agentów ubezpieczeniowych zaczęli przysyłać maile o bezprawnym korzystaniu ze znaku Allianza. Mail przychodzi z domeny techraf.eu i odsyła na docs.techraf.eu.
Właśnie przypełzło z hosta
*.mailgun.info
Host źródłowy:
*.adsl.inetia.pl
Domena mpartners.eu nadal w użyciu i czysta na virustotal – zgłaszajcie tam również URLe!
A jak sprawa wygląda jak mam Eseta i włączone reguły ? Muszę zgodzić sie na każde połączenie wychodzące lub utworzyć regułę. Czy w takiej sytuacji to dziadostwo może mi coś pobrać na dysk ?
Pytanie czysto teoretyczne bo nie otwieram takich załączników.
Bez testów nikt Ci nie powie…
A co zrobić gdy kliknie się w link?
Samo kliknięcie w link jest niebezpieczne? Kliknęłam i wyszłam ze strony, Eset coś tam mi zakomunikował. Czy mogę czuć się bezpiecznie?
Witam,
Pytanie do kolegów z branży IT: jakie kierunki zabezpieczeń proponowalibyście jako pierwsze, w celu zabezpieczenia się przed w/w? Dla uniknięcia dyskusji natury teologicznej :-) zakładam środowisko windows z domeną.
Antyspam/antywirus w pierwszych dniach nie zadziała, atakujący działa z czystych domen i intensywnie wykorzystuje efekt tzw. godziny zero. Sandboksyzacja środowiska wykonywalnego – jaką metodą? W środowisku windows mamy m.in. mechanizm SRP + uprawnienia zwykłego użytkownika, to przynajmniej powinno nas zabezpieczyć przed zwykłą głupotą typu „klikam we wszystko co przyszło z internetu”. Zakładam jednak że to dopiero początek i nie zabezpiecza nas przed atakiem z wewnątrz.
Co więcej? Jakieś sugestie dot. zabezpieczenia środowiska przeglądarki, jakie są Wasze doświadczenia? Co gdyby atakujący – zamiast proponować pobrania EXEka, sugerował instalację modułu/wtyczki przeglądarki?
Pozdrawiam
Werner
Instalacja mozgu na poczatek (nic personalnego, bez urazy). Drugim najlepszym wyjsciem to odpiecie komputera od kabli i korzystanie z maszyny do pisania. Trzecim, bezmyslna instalacja kazdego szajsu jaki tylko przyjdzie Wam do glowy lub poleci specjalista na forum ITsec, uchroni was to przd kazdym wtornym atakiem, kazda faktura .pif i paroma innymi rzeczami. Ale nie przed prawdziwym malware i kims kto idzie z misja przejecia kontroli nad Wasza firma. Problem w tym, ze po co Wam te AV, firewalle, inne utrudnienia w pracy skoro gdy i tak atak zostanie przeprowadzony, dane wykradzione, i firma jest w czarnej d*pie to 80% ludzi decyduje sie olac hakerow liczac na „nic sie nie stalo”? W takim wypadku zwyczajnie szkoda pieniedzy, czasu, nerwow i sil na edukowanie pracownikow lub siebie. ITsec to stan umyslu, nie maszyny z ktorej korzystacie.
Witam,
Ja moze z innej beczki – jak to usunac?:)
A co zrobić gdy kliknie się w link? Kliknęłam i co zrobić, przeskanowałam komputer i Kaspersky nic nie wykrył.