14.09.2015 | 18:29

Adam Haertle

Nowa kampania fiat126pteam – celem firmy księgowe

Czasem mamy wrażenie, że są przestępcy, dla których oszukiwanie i okradanie internautów to zwykła praca, którą wykonują po 8 godzin dziennie. Przykładem takim może być niestrudzony fiat126pteam, który wystartował z kolejną kampanią.

Mimo naszych wysiłków najwyraźniej ciągle jeszcze nie wszyscy Polacy wiedzą, że trzeba uważać na wiadomości z linkami do fałszywych dokumentów MS Office. Sugeruje to stałe wykorzystanie tego motywu w kampaniach fiat126pteam mimo ich wielokrotnego nagłośnienia. Tym razem wygląda na to, ze na celowniku atakujących są firmy księgowe.

Pytanie o usługi księgowe

W wiadomości o temacie „Pytanie o cenę analizy dla klienta” rozsyłanej dzisiaj od około południa możemy znaleźć następującą treść:

Szanowni Państwo,

Zwracam się z pytaniem o przedstawienie cennika analizy dla naszego klienta biznesowego. Kluczową sprawą jest dla nas czas, analiza będzie niezbędną w trwającym postępowaniu i musi zostać przedłożona w terminie nie późniejszym niż 30 września (środa). Oczywiście gdyby takowa usługa spowodowała wzrost ceny zlecenia jesteśmy na to przygotowani.

Nasz klient przekształcił formę prawną firmy, z tego powodu powstały problemy związane z zaległościami księgowymi oraz poprzednimi wierzycielami. Potrzebujemy możliwie jak najszybszej informacji zwrotnej czy są w stanie Państwo podjąć się tego typu zlecenia.

Przedstawiam wszystkie niezbędne dokumenty dla poglądu sytuacji i proszę o wiadomość zwrotną.

http://docs.mpartners.eu/?fname=kacperski_dokumenty_podatnik_ZM83294301.doc

Liczę, że jest to wystarczający rozpis dokumentów, który posłuży do wyceny.

Z poważaniem,

Rafał Zygmunt
Adwokat prowadzący
Kancelaria mPartners
[email protected]
NIP:7691229959 REGON: 140662170
Lwowska 55, 35-301 Rzeszów

Oczywiście link prowadzi do znanego już naszym Czytelnikom mechanizmu infekcji przez fałszywą wtyczkę MS Office:

Tradycyjna metoda infekcji

Tradycyjna metoda infekcji

Tym razem atakujący zadbał o stronę rzekomej „kancelarii” która ma być nadawcą wiadomości. Sklonował w tym celu stronę istniejącej polskiej kancelarii podmieniając jedynie logo oraz modyfikując dane kontaktowe. Co ciekawe użył numeru NIP i REGON innej kancelarii (specjalnie zmodyfikowaliśmy te wartości w wiadomości powyżej by nie wikłać jej w tę sprawę). Z kolei nie zadbał już o witrynę, z której pobierany jest plik wykonywalny – na która zapewne i tak niewiele ofiar zagląda, bo plik pobierany jest w tle.

Tym razem nadawcą jest "kancelaria prawna"

Tym razem nadawcą jest „kancelaria prawna”

Charakterystyka pliku wykonywalnego

Plik serwowany ofiarom pobierany jest z adresu

http://update.microsoftcenter.info/download/Office_app.exe

Próbka którą udało się nam pobrać:

Inne informacje

Domena mpartners.eu zarejestrowana została 13 września o 22:50 przez użytkownika który podał adres email [email protected] i znajduje się na serwerze 181.41.198.253 w Brazylii. Z kolei domena microsoftcenter.info zarejestrowana została 10 września około południa i znajduje się na serwerze 185.86.148.125 w Szwecji. Domena lermonovels.eu została zarejestrowana 10 września przez użytkownika który podał adres email [email protected] i znajduje się na serwerze 81.17.28.81.

Choć widzimy kilka zmian (klonowana strona, brak witryny „Microsoftu” i ta sama domena użyta do wysyłki wiadomości oraz hostowania fałszywego dokumentu), to pozostałe cechy ataku jednoznacznie wskazują na autorstwo fiat126pteam.

Dziękujemy użytkownikom, którzy podesłali próbki wiadomości.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside

Powrót

Komentarze

  • 2015.09.14 18:48 Marcin

    Wystarczy kasperczak na kompie i malwars sie nie przedostanie sie do systemu :)

    Odpowiedz
    • 2015.09.15 08:57 Ninja

      Widzę, że kolega nadal wierzy w pieprzenie producentów antywirusów. Oszukanie antywirusa, jakiegokolwiek, to zadanie trywialne i zajmuje mniej więcej godzinę osobie obeznanej w asm.

      Odpowiedz
      • 2015.09.15 09:47 Daniel

        Tak, w szczególności jeżeli wszystkie pliki nieautoryzowane przez admina ulegaja kontenerycacji ;-)

        Odpowiedz
      • 2015.09.15 19:28 hahahaha

        Tak, bo ty umiesz zablokować płyte główną przez adres ip i antywirusy cię nie zatrzymają bo masz większe prawa niż inni ;) https://www.youtube.com/watch?v=n6kUHM4jmqE

        Odpowiedz
  • 2015.09.14 19:11 tenbit

    Te całe kampanie przestępcze dowodzą tego, że prawo i państwo zawiodło. Gdyby ścigać każdego rodzaju naruszenie prawa w Internecie, przestępcy trochę by przystopowali. A tak mamy codzienne ataki internetowe, które nawet nie zostałyby przyjęte jako zgłoszenie próby oszustwa i przestępczych działań. Dopiero jak kampania zbiera obfite żniwo, organy ścigania wkraczają do akcji. Zbyt długo pobłażali bandytom internetowym i na chwilę obecną jest już za późno.

    Odpowiedz
    • 2015.09.15 08:32 skiter

      Takich ludzi ciezko wytropic, potem trzeba znaledz dowody, wytoczyc sprawe … i cala lista rzeczy TODO.

      Policja ma ciekawsze sprawy na glowie np: Uzytkownik X na forum Y wystawil 10 mp3! Bandyta, zlodziej i trzeba go solidnie ukarac, bo ZAIKS nie zarobil na tych 10 mp3 …

      Odpowiedz
  • 2015.09.14 19:36 Michał

    Właśnie dostałem e-maila z tym wirusem, dzięki za info :) Ciekawe, czy ktoś z księgowych się da nabrać…

    Odpowiedz
  • 2015.09.14 19:47 zygmunthahahaj0

    ksiegowi byli do przewidzenia. ;)

    Odpowiedz
  • 2015.09.14 19:49 Filip Amator

    Kto następny? Mleczarnie i zakłady przetwórstwa rybnego?

    Odpowiedz
  • 2015.09.14 20:07 Fiateam to łajza

    Ten cały fiateam to zwykła patologia. Fiateam musi mieć patologiczne pochodzenie. Matka od fiateam’a na pewno się puszczała a ojciec był pijakiem. Dlatego fiateam teraz się włamuje na potęge i rozsyła swoje chore załączniki:) No i te skojarzenie nazwy z maluchem – zapewne musi mieć małego, ha ha ha ha ha ha ha!
    Fiateam to obciągacz z sieci Tor! Zwykłe pośmiewisko, pozuje na hakera a jest zwykłym idiotą.

    Odpowiedz
    • 2015.09.15 08:58 Ninja

      Nie bulwersuj się tak, bo ci kredki z tornistra wypadną.

      Odpowiedz
  • 2015.09.14 20:39 :)

    ciekawe ile kosztuje tak naprawde przykrycie piewszej afery „kancelarie prawne ” i stworzenie wrażenia, że w tej Polsce wszyscy zostali i są atakowani … i nie było by to takie dalekie od wrażenia, że robota trwa po 8 h dziennie :) no bo tak ; fiacik nie istniał przed „skokiem” :) na kancelarie, raczej sprawia wrażenie avatara na potrzebe chwili , oczywiscie trop prowadzi do Rosji bo gosc uzył słówka „Priviet” wooo Rosja nasz odwieczy wróg u bram ! :) , trochę psychologii, półprawd … pomieszanych ze zmyłkami i MAMY AFERE, na pewno nie jest to tanie i na pewno nie na fakture … kto został wynajęty ??? kto tak pracuje ???

    Odpowiedz
  • 2015.09.14 20:41 Hary TwardaPala

    Fiat zalewa polskie skrzynki mailowe, niczym uchodzccy z Syrii :(

    Odpowiedz
  • 2015.09.14 21:06 toja

    Ja otworzyłem… co mam teraz robić aby to wywalić z komputera?

    Odpowiedz
  • 2015.09.14 21:16 P@wson

    Żaden rozsądny księgowy chyba się na to nie nabierze. Przekształcenie formy prawnej spółki handlowej (albo 1 osobowego przedsiębiorcy w spółkę) wymaga sporządzenia bilansu – zamknięcia dla starego i otwarcia dla nowego podmiotu czyli już na tym etapie wiadomo o podmiocie wszystko. Sądzę, że tego typu wiadomości pod kątem merytorycznym będą wyłapane przez dobre biuro rachunkowe przez to mam nadzieję szansa kradzieży/włamań jest mniejsza.

    Odpowiedz
    • 2015.09.15 12:36 hoek

      Poddaj analizie sytuację z akcją „na wnuczka” itp. Niby wszędzie o tym trąbią a wciąż ludzie się nacinają :) Rozsądny czy nie rozsądny księgowy, za dwa lata dalej ludzie będą klikali w linki jak ktoś już to słusznie zauważył dając znać w komentarzach.

      Odpowiedz
  • 2015.09.14 22:44 Anonim

    A ja im kibicuje. Nie od dziś wiadomo, że najlepiej uczyć się przez praktykę, administratorzy, z3s, koledzy z głową na karku – wszyscy mogą sobie gadać do śmierci a i tak pani Krysia i pan Zbyszek będą klikać w co popadnie bo mają po prostu problemy z myśleniem ze zrozumieniem. Straci szmal lub dane to może się nauczy.

    Odpowiedz
    • 2015.09.14 22:45 Anonim

      *miało być z myśleniem i czytaniem ze zrozumieniem
      :)

      Odpowiedz
  • 2015.09.15 09:45 Jurek

    Fiat mówi, że to nie on.

    Odpowiedz
  • 2015.09.15 09:49 Daniel

    Na problemy z myśleniem dobry jest ołów ;-)

    Odpowiedz
  • 2015.09.15 12:33 hoek

    Fajne są takie podsumowania, atakujący może sprawdzić jak tam postępy w analizie jego ataku, gdzie strzelił gafę, gdzie jakie dane ktoś wyłuskał co mógłby poprawić, co zmienić. Fajnie, fajnie. Lubię to.

    Odpowiedz
  • 2015.09.15 13:15 oleum

    A ja swojej mamie zainstalowałem Ubuntu w kancelarii :) Oczywiście nie ma systemu doskonałego ale masowe akcje wymierzone w windę odpadają.

    Odpowiedz
  • 2015.09.15 14:33 El0

    Do agentów ubezpieczeniowych zaczęli przysyłać maile o bezprawnym korzystaniu ze znaku Allianza. Mail przychodzi z domeny techraf.eu i odsyła na docs.techraf.eu.

    Odpowiedz
  • 2015.09.15 17:54 NN

    Właśnie przypełzło z hosta
    *.mailgun.info
    Host źródłowy:
    *.adsl.inetia.pl

    Domena mpartners.eu nadal w użyciu i czysta na virustotal – zgłaszajcie tam również URLe!

    Odpowiedz
  • 2015.09.15 21:15 Darek

    A jak sprawa wygląda jak mam Eseta i włączone reguły ? Muszę zgodzić sie na każde połączenie wychodzące lub utworzyć regułę. Czy w takiej sytuacji to dziadostwo może mi coś pobrać na dysk ?
    Pytanie czysto teoretyczne bo nie otwieram takich załączników.

    Odpowiedz
    • 2015.09.15 21:22 Adam

      Bez testów nikt Ci nie powie…

      Odpowiedz
  • 2015.09.15 22:33 ana

    A co zrobić gdy kliknie się w link?

    Odpowiedz
  • 2015.09.16 10:12 księgowa

    Samo kliknięcie w link jest niebezpieczne? Kliknęłam i wyszłam ze strony, Eset coś tam mi zakomunikował. Czy mogę czuć się bezpiecznie?

    Odpowiedz
  • 2015.09.16 10:13 Werner339

    Witam,

    Pytanie do kolegów z branży IT: jakie kierunki zabezpieczeń proponowalibyście jako pierwsze, w celu zabezpieczenia się przed w/w? Dla uniknięcia dyskusji natury teologicznej :-) zakładam środowisko windows z domeną.

    Antyspam/antywirus w pierwszych dniach nie zadziała, atakujący działa z czystych domen i intensywnie wykorzystuje efekt tzw. godziny zero. Sandboksyzacja środowiska wykonywalnego – jaką metodą? W środowisku windows mamy m.in. mechanizm SRP + uprawnienia zwykłego użytkownika, to przynajmniej powinno nas zabezpieczyć przed zwykłą głupotą typu „klikam we wszystko co przyszło z internetu”. Zakładam jednak że to dopiero początek i nie zabezpiecza nas przed atakiem z wewnątrz.

    Co więcej? Jakieś sugestie dot. zabezpieczenia środowiska przeglądarki, jakie są Wasze doświadczenia? Co gdyby atakujący – zamiast proponować pobrania EXEka, sugerował instalację modułu/wtyczki przeglądarki?

    Pozdrawiam
    Werner

    Odpowiedz
  • 2015.09.16 10:47 fiatsrat

    Instalacja mozgu na poczatek (nic personalnego, bez urazy). Drugim najlepszym wyjsciem to odpiecie komputera od kabli i korzystanie z maszyny do pisania. Trzecim, bezmyslna instalacja kazdego szajsu jaki tylko przyjdzie Wam do glowy lub poleci specjalista na forum ITsec, uchroni was to przd kazdym wtornym atakiem, kazda faktura .pif i paroma innymi rzeczami. Ale nie przed prawdziwym malware i kims kto idzie z misja przejecia kontroli nad Wasza firma. Problem w tym, ze po co Wam te AV, firewalle, inne utrudnienia w pracy skoro gdy i tak atak zostanie przeprowadzony, dane wykradzione, i firma jest w czarnej d*pie to 80% ludzi decyduje sie olac hakerow liczac na „nic sie nie stalo”? W takim wypadku zwyczajnie szkoda pieniedzy, czasu, nerwow i sil na edukowanie pracownikow lub siebie. ITsec to stan umyslu, nie maszyny z ktorej korzystacie.

    Odpowiedz
  • 2015.09.16 11:44 J

    Witam,
    Ja moze z innej beczki – jak to usunac?:)

    Odpowiedz
  • 2015.09.16 11:57 ana

    A co zrobić gdy kliknie się w link? Kliknęłam i co zrobić, przeskanowałam komputer i Kaspersky nic nie wykrył.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowa kampania fiat126pteam – celem firmy księgowe

Komentarze