Nowa kampania fiat126pteam – celem firmy księgowe

dodał 14 września 2015 o 18:29 w kategorii Złośniki  z tagami:
Nowa kampania fiat126pteam – celem firmy księgowe

Czasem mamy wrażenie, że są przestępcy, dla których oszukiwanie i okradanie internautów to zwykła praca, którą wykonują po 8 godzin dziennie. Przykładem takim może być niestrudzony fiat126pteam, który wystartował z kolejną kampanią.

Mimo naszych wysiłków najwyraźniej ciągle jeszcze nie wszyscy Polacy wiedzą, że trzeba uważać na wiadomości z linkami do fałszywych dokumentów MS Office. Sugeruje to stałe wykorzystanie tego motywu w kampaniach fiat126pteam mimo ich wielokrotnego nagłośnienia. Tym razem wygląda na to, ze na celowniku atakujących są firmy księgowe.

Pytanie o usługi księgowe

W wiadomości o temacie „Pytanie o cenę analizy dla klienta” rozsyłanej dzisiaj od około południa możemy znaleźć następującą treść:

Szanowni Państwo,

Zwracam się z pytaniem o przedstawienie cennika analizy dla naszego klienta biznesowego. Kluczową sprawą jest dla nas czas, analiza będzie niezbędną w trwającym postępowaniu i musi zostać przedłożona w terminie nie późniejszym niż 30 września (środa). Oczywiście gdyby takowa usługa spowodowała wzrost ceny zlecenia jesteśmy na to przygotowani.

Nasz klient przekształcił formę prawną firmy, z tego powodu powstały problemy związane z zaległościami księgowymi oraz poprzednimi wierzycielami. Potrzebujemy możliwie jak najszybszej informacji zwrotnej czy są w stanie Państwo podjąć się tego typu zlecenia.

Przedstawiam wszystkie niezbędne dokumenty dla poglądu sytuacji i proszę o wiadomość zwrotną.

http://docs.mpartners.eu/?fname=kacperski_dokumenty_podatnik_ZM83294301.doc

Liczę, że jest to wystarczający rozpis dokumentów, który posłuży do wyceny.

Z poważaniem,

Rafał Zygmunt
Adwokat prowadzący
Kancelaria mPartners
kancelaria@mPartners.eu
NIP:7691229959 REGON: 140662170
Lwowska 55, 35-301 Rzeszów

Oczywiście link prowadzi do znanego już naszym Czytelnikom mechanizmu infekcji przez fałszywą wtyczkę MS Office:

Tradycyjna metoda infekcji

Tradycyjna metoda infekcji

Tym razem atakujący zadbał o stronę rzekomej „kancelarii” która ma być nadawcą wiadomości. Sklonował w tym celu stronę istniejącej polskiej kancelarii podmieniając jedynie logo oraz modyfikując dane kontaktowe. Co ciekawe użył numeru NIP i REGON innej kancelarii (specjalnie zmodyfikowaliśmy te wartości w wiadomości powyżej by nie wikłać jej w tę sprawę). Z kolei nie zadbał już o witrynę, z której pobierany jest plik wykonywalny – na która zapewne i tak niewiele ofiar zagląda, bo plik pobierany jest w tle.

Tym razem nadawcą jest "kancelaria prawna"

Tym razem nadawcą jest „kancelaria prawna”

Charakterystyka pliku wykonywalnego

Plik serwowany ofiarom pobierany jest z adresu

Próbka którą udało się nam pobrać:

Inne informacje

Domena mpartners.eu zarejestrowana została 13 września o 22:50 przez użytkownika który podał adres email a.michnik@counsellor.com i znajduje się na serwerze 181.41.198.253 w Brazylii. Z kolei domena microsoftcenter.info zarejestrowana została 10 września około południa i znajduje się na serwerze 185.86.148.125 w Szwecji. Domena lermonovels.eu została zarejestrowana 10 września przez użytkownika który podał adres email pt.andrwei@asia.com i znajduje się na serwerze 81.17.28.81.

Choć widzimy kilka zmian (klonowana strona, brak witryny „Microsoftu” i ta sama domena użyta do wysyłki wiadomości oraz hostowania fałszywego dokumentu), to pozostałe cechy ataku jednoznacznie wskazują na autorstwo fiat126pteam.

Dziękujemy użytkownikom, którzy podesłali próbki wiadomości.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside