szukaj

15.09.2015 | 14:25

avatar

Adam Haertle

Nowy atak „Zawiadomienie o naruszeniu własności przemysłowej”

Mamy czasem poczucie, że przestępcy chcą nas zamęczyć koniecznością opisywania swoich kampanii i liczą na to, że kiedyś przejdzie nam ochota na tworzenie kolejnych artykułów na ich temat. Jeśli nawet, to ten moment jest jeszcze przed nami.

Dotarły do nas przed kilkoma minutami próbki najnowszego ataku na internautów. Wygląda podobnie do dotychczasowych, wykorzystuje również fragment tej samej infrastruktury. Co ciekawe, informacja zawarta w wiadomości wskazuje na naruszenie znaku towarowego firmy ubezpieczeniowej Allianz, a adresatami były firmy pośrednictwa ubezpieczeniowego.

Poniżej kilka szczegółów:

Temat:  Zawiadomienie o naruszeniu własności przemysłowej

Treść:

Szanowni Państwo,

Kancelaria TechRAF Rafał Zygmunt z ramienia spółki Allianz S.A wzywa do zaprzestania używania znaku przemysłowego należącego do grupy Allianz S.A zarejestrowanego w dniu 27.08.1997 w zgodzie z paragrafem Art. 296 – Naruszenie prawa ochronnego

1. Osoba, której prawo ochronne na znak towarowy zostało naruszone, lub osoba, której ustawa na to zezwala, może żądać od osoby, która naruszyła to prawo, zaniechania naruszania, wydania bezpodstawnie uzyskanych korzyści, a w razie zawinionego naruszenia również naprawienia wyrządzonej szkody:
1) na zasadach ogólnych albo
2) poprzez zapłatę sumy pieniężnej w wysokości odpowiadającej opłacie licencyjnej albo innego stosownego wynagrodzenia, które w chwili ich dochodzenia byłyby należne tytułem udzielenia przez uprawnionego zgody na korzystanie ze znaku towarowego.

Korzystając z zarejestrowanych znaków należących prawnie do grupy Allianz S.A bez zgody właściciela naruszają Państwo powyższy przepis. Rozwinięcie artykułu znajdą Państwo w Akcie Prawnym Prawa Własności Przemysłowej, tytuł XI, dział „Roszczenia dotyczące znaków towarowych i oznaczeń geograficznych”, Art. 296, 287, 163.

Szczegóły wezwania oraz opłaty windykacyjnej znajdą Państwo w dokumencie

http://docs.techraf.eu/?fname=kancelaria__techraf_dokument_ZM83294301.doc

Prosimy o jak najszybsze zaniechanie używania zarejestrowanych znaków przemysłowych przez Państwa przedsiębiorstwo oraz pokrycie strat z tego tytułu na rzecz Allianz S.A oraz Kancelarii TechRaf w ramach opłaty windykacyjnej w wysokości 12534,50 złotych (Dwanaście tysięcy pięćset trzydzieści cztery złote, pięćdziesiąt groszy).

Powyższa wiadomość jest skierowana na oficjalną skrzynkę Państwa firmy w internecie – [tu adres email odbiorcy] oraz listem poleconym w terminie niepóźniejszym niż 3 dni od daty otrzymania elektronicznego potwierdzenia.

Data wszczęcia postępowania o naruszeniu własności przemysłowej: 8.09.2015

Data wysłania pisma windykacyjnego: 15.09.2015

Źródło informacji: Spółka Handlowa Wierzyciela

Z poważaniem,

Rafał Zygmunt

Wspólnik w Kancelarii TechRaf

Lwowska 5, 35-301 Rzeszów [email protected]

NIP: 7691954359, REGON: 140634290

NRB: 15 1140 2017 0000 4002 1305 3283

Otrzymaliśmy także drugi wariant wiadomości:

Szanowni Państwo,

Informujemy, iż klient, Marian Dziędzielski „POMELO” Sp. z.o.o Hurtownia Gastronomiczna, reprezentowany przez kancelarię TechRAF Rafał Zygmunt przedłożył w dniu dzisiejszym pismo zawiadamiające o konieczności windykacji należnej kwoty 5483,34 PLN (Słownie, pięć tysięcy osiemset trzydzieści złotych, trzydzieści cztery grosze) od Państwa spółki w związku z niedotrzymaniem postanowień umowy handlowej pomiędzy Państwa przedsiębiorstwem, a „POMELO” Sp. z.o.o Hurtownia Gastronomiczna.

Wiadomość kierujemy na firmową skrzynkę pocztową – [tu adres email] oraz listem poleconym w ciągu 3 następujących dni.

Szczegóły nieuregulowanego rachunku wobec Państwa wierzyciela znajdują się pod podanym adresem

http://docs.techraf.eu/?fname=kancelaria__techraf_dokument_ZM83294301.doc

Skany faktur pochodzą z kolejno,

1.02.2015
1.03.2015
1.04.2015
1.05.2015

Prosimy o szczegółowe zapoznanie się z wymienionymi dokumentami.

W załączniku znajduję się również wezwanie do uregulowania zapłaty w terminie niepóźniejszym niż 30 września 2015 roku. Brak wpłaty na konto wierzyciela spowoduje wszczęcie postępowania sądowego oraz komorniczego przez kancelarię TechRAF, Rafał Zygmunt.

Z poważaniem,

Rafał Zygmunt
Wspólnik w kancelarii TechRAF.eu
Lwowska 5, 35-301 Rzeszów [email protected] +48 723 251 299
NIP: 7691954359, REGON: 140634290
NRB: 15 1140 2017 0000 4002 1305 3283

Strona „kancelarii”:

Strona "kancelarii"

Strona „kancelarii”

Złośliwy plik:

Tym razem, co ciekawe, nie jest to Smoke Loader, a wygląda na bankowego konia trojańskiego Carberp:

  • serwer C&C: http://g3m0.org
  • http://g3m0.org/us/ks/config.jpg – konfiguracja
  • http://g3m0.org/us/ks/g.php – komunikacja C&C

Oprócz Carberpa złośliwy plik instaluje także drugi plik EXE, który nie został jeszcze przeanalizowany.

Dziękujemy wszystkim nadsyłającym próbki oraz analizy.

Powrót

Komentarze

  • avatar
    2015.09.15 14:41 Sebastian

    Dostałem identyczną wiadomość. Z racji prowadzenia agencji ubezpieczeniowej pot mnie zlał, ale na szczęście ten artykuł trochę mnie uspokoił. Sprawdzając REGON i NIP w wyszukiwarce GUS podmiot taki nie istnieje. Sama firma TechRaf jest zarejestrowana w Warszawie a nie jak w mailu w Rzeszowie. Co można z tym zrobić? Czy osoby wysyłające takie wiadomości mogą czuć się bezkarne??

    Odpowiedz
    • avatar
      2015.09.16 10:31 Paweł Nyczaj

      Jak widać należy wszystko weryfikować, mieć niemal zero zaufania i nie wierzyć w tego typu straszenie. Gdyby Allianz faktycznie miał tego typu pretensje wysłałby je listem poleconym, prosił o spotkanie osobiste w takiej sprawie itp. Mail na pewno nie wystarcza, zwłaszcza w czasach pełnych spamu i wyrafinowanych bezczelnych ataków.

      Odpowiedz
  • avatar
    2015.09.15 14:54 Marcin

    Tez to samo z tym ze chodziło o zadłużenie a nie znak towarowy. Sprawa juz na policji z tego co wiem. Dobrze być na bieżąco z security news ;)

    Odpowiedz
  • avatar
    2015.09.15 14:56 Maciej

    Witam,

    Dostałem to samo, również prowadzę multiagencję ubezpieczeniową.

    Kontaktowałem się z właścicielem Kancelarii w Warszawie, i jest to znajomy mu problem, sam mówił, że to naciągacze.

    Pozdrawiam,

    Odpowiedz
  • avatar
    2015.09.15 15:00 Tomasz

    !!! Uwaga!!!
    Ta wiadomość zawiera program szyfrujący. Prosimy nie otwierać plików załączonych. To one są zarażone. Wirus trudny do wyleczenia. Otwarcie grozi kradzieżą wszystkich danych zawartych na komputerze. Prosimy o ostrożność.

    Odpowiedz
    • avatar
      2015.09.16 15:01 Krzysztof

      a jeśli otworzyłem załączony link – co mam zrobić jak się zabezpieczyć

      Odpowiedz
  • avatar
    2015.09.15 15:02 Kazimierz

    Witam,ja od razu zareagowałem,wysłałem otrzymanego maila do działu kontakt i podobnie po sprawdzeniu w CEiDG byłem spokojniejszy .Tez się zastanawiam czy można coś z tym zrobić ale obawiam się że ktoś się podszył pod kancelarię i nic nie wskóram.

    Odpowiedz
  • avatar
    2015.09.15 15:06 Oczko21

    Kurde, z3s nie szkoda Wam pisania ciągle o tym samym ?

    Odpowiedz
    • avatar
      2015.09.15 16:36 Big Dog

      Nie martw się o Adama, martw się o siebie

      Odpowiedz
    • avatar
      2015.09.15 20:25 Kaczy

      Właśnie dobrze że tak robi. Jest szansa że przestraszona osoba zacznie szukać informacji w google i trafi właśnie tutaj :)

      Odpowiedz
  • avatar
    2015.09.15 15:24 Mikołaj Lech | Znaki Towarowe Blog

    To musi być świeża sprawa.

    Przed chwilą dostałem informację od czytelnika, że otrzymał identycznego maila. Oszuści do tej pory ograniczali się do wysyłania pism wzywających do zapłaty za publikację znaku towarowego. Przykłady takich pism opublikowałem tutaj: http://znakitowarowe-blog.pl/przeczytaj-jezeli-chcesz-stracic-swoich-pieniedzy/

    Czy wiadomo jak działa to złośliwe oprogramowanie?

    Odpowiedz
  • avatar
    2015.09.15 15:50 Agnieszka

    Dostałam taką wiadomość. Wyrzuciłam ja do kosza, bo multiagencja nie wpółpracowałą i nie wpółpracuje z firma Allianz.
    Ponawiam pytanie Sebastiana: Co można z tym zrobić?

    Odpowiedz
  • avatar
    2015.09.15 15:58 Fedek6

    W mojej firmie pracuje adwokat Rafał Zygmunt (personalia z maila). Myślicie, że to przypadek?

    Odpowiedz
  • avatar
    2015.09.15 16:03 Miłosz

    Witam,

    Również przed chwila otrzymałem takiego maila i na szczęście zanim otworzyłem załącznik – wszedłem tutaj… to jakaś plaga!! Wczoraj dostałem z kancelarii adwokackiej podobnego maila i niestety w tamtym przypadku nie pomyślałem na czas. Zastanawiam się czy zgłosić sprawe na policji?!

    Odpowiedz
  • avatar
    2015.09.15 16:27 Imię *

    Zaraz pewnie pojawią się głosy, że Z3S robi im zwykłą reklamę. Że podobnie jak w przypadku alarmów bombowych jest niepisana dziennikarska reguła, żeby takich przypadków zbytnio nie nagłaśniać, by nie inspirowała innych.
    Z drugiej strony dziennikarska etyka nakazuje, informowanie potencjalnych poszkodowanych, żeby uważali.
    Zarzuty, że przestępcy działają z myślą: „opublikują informację o ataku czy nie” może i mają swoje odbicie w rzeczywistości ale głównie u tych świeżych w biznesie.
    Generalnie państwo hakerskie chce działać w ciszy.
    Ja bym bardziej upatrywał w tej całej akcji drugiego dna.
    Podejrzewam, że atak tak naprawdę jest skierowany w innym kierunku. Zakładając „normalną” ścieżkę hakerską, po ogłoszeniu pierwszej wpadki, fiat by się wycofał, jednak ktoś usilnie ich promuje.W mojej opinii odwraca uwagę.

    Odpowiedz
    • avatar
      2015.09.16 10:28 Paweł Nyczaj

      Może być jakieś drugie dno, łącznie z obcymi służbami, konkurencją chcącą nielegalnie zdobyć dane z firm w swojej branży itp. To już zadanie dla detektywów i śledczych, a może też wywiadu i kontrwywiadu. Swoją drogą jedynymi, którzy zasłużyli na atak są prawnicy wyłudzający opłaty za zaniechanie wszczęcia śledztwa w sprawie rzekomych naruszeń praw autorskich w stylu posądzenia o nielegalne ściągnięcie jakiegoś filmu (są kancelarie wyspecjalizowane w tym procederze, na szczęście raczej margines rynku kancelarii prawnych, ale margines dokuczliwy dla internautów). Oczywiście autorami ataku na takie szemrane podmioty w państwie prawa (no powiedzmy Polska jest państwem prawa, szkoda że tylko częściowo) powinni być nie hakerzy, ale prokuratura, która niestety jest u nas w takich sprawach mało skuteczna (elegancko powiedziane). To samo należy się trollom patentowym (problem głównie w USA). Tam też sądy nie radzą sobie z oczywistymi wyłudzeniami pod pretekstem naruszenia patentów.

      Odpowiedz
  • avatar
    2015.09.15 16:52 GRG

    A ja mam pytanie z innej beczki, pewnie dla wielu z was, bardziej doświadczonych, śmieszne. Czemu ma służyć umieszczanie w dole tekstu hash’u pliku w MD5 i SH1 ? (Wiem czym są algorytmy haszujące)

    Odpowiedz
    • avatar
      2015.09.15 17:25 Adam

      Standard identyfikacji pliku, pomoże tu trafić komuś kto będzie szukał w Google

      Odpowiedz
      • avatar
        2015.09.15 19:54 kez87

        Adam,MD5 jest jednak trochę wrażliwe na kolizje :D
        Przypuszczam,że @GRG o to chodzi.Aha: SH-1 googlując mi wyrzuca aparat fotograficzny – Chodzi chyba o SHA-1… Co prawda MD5 i SHA-1 są nadal używane choćby jeśli chodzi o iso linuxa,ale osobiście bardziej ufam sha256 (czyli de facto sha-2),a MD5 już nie ufam za grosz.

        Odpowiedz
        • avatar
          2015.09.15 20:14 Adam

          No i? Na serio myslisz że fiat126pteam albo Thomas będą robić kolizje MD5? I z czym, kalkulatorem? A złośliwy kod gdzie schowają?
          Tak, są możliwe kolizje MD5, ale to nie powód, b nagle przestać używać tych haszy do opisywania EXE.

          Odpowiedz
          • avatar
            2015.09.15 20:28 Marcin

            Owszem, jest. Nawet na YouTubie są dzisiaj tutoriale jak wygenerować kolizję w MD5. Tę funkcję należy odstawić do muzem, tak samo jak i SHA1 zresztą. Absolutnie nic dzisiaj nie stoi na przeszkodzie aby używać funkcji SHA2/SHA3. Szczególnie portal o bezpieczeństwie powinien faworyzować takie praktyki.

          • avatar
            2015.09.15 21:15 Adam

            Do tworzenia bezpiecznych skrótów tam gdzie mają one znaczenie – z przyjemnością. Tu nadal nikt nie pokazał ryzyka związanego z MD5 do oznaczenia malware w artykule. Ciągle czekam, co złego może się wydarzyć jak użyję ponownie MD5 w kolejnej kampanii. Więcej kreatywności!

          • avatar
            2015.09.15 22:22 f

            chetnie zobacze jak kolega Marcin generuje kolizje dla wymienionych w artykule binarek korzystajac z technik w filmikach na yt. bez lipy oferuje bounty w wysokosci 200 PLN jak sie uda. pzdr i rozluzniamy zwieracze;)

        • avatar
          2015.09.15 21:40 Duży Pies

          Solone hashe MD5 już nie są podatne na kolizje – są odporne atak z użyciem tęczowych tablic i bez znajomości soli nic nie zdziałasz.
          .
          VeriSign od kilku dobrych lat nie zaleca używania niesolonych MD5. Dlatego na stronach Linuxowych distro i rodziny BSD, masz podane co najmniej 2 hashe: MD5 i któryś z SHA (jest kilka SHA).

          Odpowiedz
  • avatar
    2015.09.15 17:21 f

    Można skorzystać z https://www.cert.pl/formularz/formularz.php?lang=pl , jeśli ktoś odczuwa taką wewnętrzną potrzebę.

    Odpowiedz
  • avatar
    2015.09.15 21:59 Marcin

    Minie październik, zacznie się szkoła/studia i ataki ustaną.

    Odpowiedz
  • avatar
    2015.09.16 00:21 Tomek

    Witam,
    a jeśli ktoś pobrał to dziadostwo i próbował uruchomić, ale Windows zablokował możliwość otwarcia, to czy są powody do obaw?

    Odpowiedz
  • avatar
    2015.09.16 08:58 Tomek

    A co zrobić gdy ktoś ściągnął to dziadostwo, ale zapora systemu zablokowała uruchomienie pliku? Czy komputer został zainfekowany?

    Odpowiedz
    • avatar
      2015.09.16 10:03 Paweł Nyczaj

      Jeśli komputer zablokował plik to OK, ale i tak wgrałbym na pendrive antywirusa ze swoim własnym systemem (zwykle linuksem) i nim przeskanował kompa (są takie narzędzia m.in. Kaspersky Rescue Disk). Mając Norton Security można tez uruchomić Norton Power Eraser. Są też narzędzia, takie jak: Kaspersky Virus Removal Tool pozwalające usunąć zagrożenie i po użyciu samoczynnie się odinstalują. Wokół Kasperskiego są ostatnio pewne kontrowersje, ale nie są to przecież jedyne narzędzia tego typu. Skoro komputer zablokował otwarcie pliku, to jest szansa, że nie dopuścił wirusa, ale gruntowne skanowanie trzeba zrobić i na wszelki wypadek odłączyć NAS, zakładając, że kopia danych została zrobiona przed incydentem.

      Odpowiedz
      • avatar
        2015.09.16 11:20 Tomek

        Jak narazie przeskanowałem system Bitdefenderem, który mam zainstalowany i on wykrył jedno zagrożenie (prawdopodobnie niepowiązane z tym zdarzeniem). Aktualnie skanuję Eset Online Scannerem i wykrył kilka w lokalizacji Win32. Czy mógłbyś troszkę naświetlić metodę o której napisałeś? Chodzi o to by zainstalować na pendrive linuxa i na nim także antywirus i po odpaleniu komputera na linuxie dokonać skanowania dysków? I na czym polega „na wszelki wypadek odłączyć NAS”. Z góry serdecznie dziękuję, bo jestem zielony w tym temacie.
        Pozdrawam

        Odpowiedz
        • avatar
          2015.09.16 19:51 Duży Pies

          Ściągnij sobie rosyjskiego Dr. Weba – bardzo dobry AV pracujący właśnie jako LiveCD/LiveUSB. Tutaj URL do pliku który spreparuje Ci gotowy pendrive z tym antywirusem: http://download.geo.drweb.com/pub/drweb/livedisk/drweb-livedisk-900-usb.exe Na stronie http://www.freedrweb.com/livedisk/ gdy najedziesz myszką na ten plik EXE, to pokaże Ci się suma MD5 którą sobie sprawdź po pobraniu. AV mimo że rosyjski, posiada polski interfejs – jest dostępny już po załadowaniu środowiska graficznego. Używam go od lat, podobnie jak ClamAV, Comodo AV, Kasperski AV. To bardzo dobry AV.

          Odpowiedz
        • avatar
          2015.09.16 19:54 Duży Pies

          Paweł miał zapewne na myśli to, że NAS też może być już zainfekowany. Tego NASa także należy sprawdzić AV: albo zmapować jego dysk(i) i je przeskanować, albo wyjąć fizycznie dysk(i) z tego NASa i także je przeskanować.

          Odpowiedz
          • avatar
            2015.09.16 21:51 byle_nie_ja

            Tak, wyciagnac dyski i zeskanowac…

            A jak nie wykryje pod winzgroza poprawnie dysku to co ma zrobic?

            Jak ma zapiety RAID na tych dyskach, to prosze o ostroznosc z takimi poradami ;)

            Bo sie chlopak pozbedzie i robala i danych ;)

          • avatar
            2015.09.16 22:09 Tomek

            Dziękuję za rady i informacje. Wykażę się pewnie dużą dozą „noobizmu”… ale rozwińcie proszę skrót NAS, bo nie wiem co to :)
            Pozdrawiam i dziękuję

        • avatar
          2015.09.17 07:53 Big Dog

          Wyjątkowo, Google search „NAS”, przykładowy link: https://pl.wikipedia.org/wiki/Network_Attached_Storage
          W dużym uproszczeniu, to po prostu dysk sieciowy.
          .
          Nie zadawaj tutaj takich pytań, bo zostaniesz okrzyczany;)
          Bo nawet jak nie znasz się na IT, to odpalić Google’a i poszukać, chyba potrafisz?

          Odpowiedz
  • avatar
    2015.09.16 12:11 observer

    No powiem, że wreszcie ataki zaczęły być ciekawe, bo długi czas były to banalne do identyfikacji próby naciągania typu „kup pan cegłę”.

    A te ataki fiata126p zaczynają mieć ręce i nogi – oczywiście w rzeczywistości są one równie naciągane jak inne – jednak na przeciętnego kowalskiego, który nie wie, że taki mail można spokojnie wsadzić sobie do śmieci, bo nie ma żadnej mocy prawnej może zrobić wrażenie, czego skutkiem będzie zrobienie w gacie oraz potrzeba silniejsza od zdrowego rozsądku, aby otworzyć załącznik.

    Wyrabiają się miśki.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy atak „Zawiadomienie o naruszeniu własności przemysłowej”

Komentarze