Nowa kampania oszustów – wiadomość „Zadłużenie” od firmy Kruk

dodał 11 października 2018 o 14:52 w kategorii Złośniki  z tagami:
Nowa kampania oszustów – wiadomość „Zadłużenie” od firmy Kruk

Przestępcy, którzy wczoraj rozsyłali wiadomości, podszywając się pod Zakład Ubezpieczeń Społecznych, poprawili swoją kampanię i dzisiaj nie popełniają już wczorajszych błędów. Popełnili za to inny – użyli do tej kampanii mojego prywatnego adresu e-mail.

Wysyłanie e-maili z adresem zwrotnym wskazującym na adres redaktora naczelnego portalu poświęconego bezpieczeństwu informacji może wydawać się zabawne, jednak ze strony przestępców nie było dobrym posunięciem strategicznym. Próbki ataku otrzymałem bowiem jako jeden z pierwszych, dzięki czemu mogę Was ostrzec przed ich działaniem.

Zadłużenie

Wiadomość prezentuje się jak poniżej:

Witam
Przesylam wezwanie przed sadowe do spaty wiezytelnosci jesli nie rozpoczna Panstwo splaty sprawa zajmie sie komornik sadowy.
Z powazaniem Grupa Kruk S.A.
[Kruk S.A. ] tel.: [+ 48 660987754]

Zadluzenie na dzien 2018.10.11
G+

[Adres Kruk S.A. ul. Powstancow 182 60-166

Poznan NIP: 779-23-08-495

https://www.kruk.pl/] kom [48 660987754]

e-mail: [[email protected]] www: [www.kruk-biuro.pl] 

Link prowadzi do:

https://fs05n1.sendspace.com/dl/4a436f9491ddeed7f4012d549ba53ba3/5bbf3d545b784193/1yhb2a/Skan.pdf.rar

a w pliku RAR znajduje się plik:

Skan.pdf.exe
SHA1: f5b1b48b10413d9695408253ca7aac467fb57711
VT: https://www.virustotal.com/#/file/ab7fe4362fd11795bf175709aa002fc9a4071d93463f37a6ec174d4946f4e882/details

Jak widać, tym razem przestępcy nie bawili się w popsute pliki RTF, tylko wysłali od razu spakowany plik wykonywalny. Plik ten w pierwszej analizie wygląda bardzo podobnie do tego, który przestępcy próbowali tak nieskutecznie wysyłać wczoraj.

To był bardzo dobry pomysł

Wstawienie przez przestępców mojego e-maila do pola „reply to” miało w sumie pozytywne konsekwencje. Dzięki temu:

  • mogę opublikować artykuł i ostrzec użytkowników, zanim dostaną e-maila, praktycznie w czasie rzeczywistym,
  • złośliwy kod przekazałem już firmom antywirusowym, by poprawić jego detekcję,
  • mogę bezpośrednio odpowiadać ofiarom ataku, by szybko usunęły jego skutki.

Same plusy!

Jeśli kliknąłeś w załącznik

Jeśli pobraliście i rozpakowaliście archiwum z linka, a następnie uruchomiliście zawarty w nim plik, to zalecamy natychmiastowe wyłączenie komputera i udanie się do specjalisty, który pomoże w usunięciu szkodnika lub reinstalacji systemu.