Mamy czasem poczucie, że przestępcy chcą nas zamęczyć koniecznością opisywania swoich kampanii i liczą na to, że kiedyś przejdzie nam ochota na tworzenie kolejnych artykułów na ich temat. Jeśli nawet, to ten moment jest jeszcze przed nami.
Dotarły do nas przed kilkoma minutami próbki najnowszego ataku na internautów. Wygląda podobnie do dotychczasowych, wykorzystuje również fragment tej samej infrastruktury. Co ciekawe, informacja zawarta w wiadomości wskazuje na naruszenie znaku towarowego firmy ubezpieczeniowej Allianz, a adresatami były firmy pośrednictwa ubezpieczeniowego.
Poniżej kilka szczegółów:
Temat: Zawiadomienie o naruszeniu własności przemysłowej
Treść:
Szanowni Państwo,
Kancelaria TechRAF Rafał Zygmunt z ramienia spółki Allianz S.A wzywa do zaprzestania używania znaku przemysłowego należącego do grupy Allianz S.A zarejestrowanego w dniu 27.08.1997 w zgodzie z paragrafem Art. 296 – Naruszenie prawa ochronnego
1. Osoba, której prawo ochronne na znak towarowy zostało naruszone, lub osoba, której ustawa na to zezwala, może żądać od osoby, która naruszyła to prawo, zaniechania naruszania, wydania bezpodstawnie uzyskanych korzyści, a w razie zawinionego naruszenia również naprawienia wyrządzonej szkody:
1) na zasadach ogólnych albo
2) poprzez zapłatę sumy pieniężnej w wysokości odpowiadającej opłacie licencyjnej albo innego stosownego wynagrodzenia, które w chwili ich dochodzenia byłyby należne tytułem udzielenia przez uprawnionego zgody na korzystanie ze znaku towarowego.
Korzystając z zarejestrowanych znaków należących prawnie do grupy Allianz S.A bez zgody właściciela naruszają Państwo powyższy przepis. Rozwinięcie artykułu znajdą Państwo w Akcie Prawnym Prawa Własności Przemysłowej, tytuł XI, dział „Roszczenia dotyczące znaków towarowych i oznaczeń geograficznych”, Art. 296, 287, 163.
Szczegóły wezwania oraz opłaty windykacyjnej znajdą Państwo w dokumencie
http://docs.techraf.eu/?fname=kancelaria__techraf_dokument_ZM83294301.doc
Prosimy o jak najszybsze zaniechanie używania zarejestrowanych znaków przemysłowych przez Państwa przedsiębiorstwo oraz pokrycie strat z tego tytułu na rzecz Allianz S.A oraz Kancelarii TechRaf w ramach opłaty windykacyjnej w wysokości 12534,50 złotych (Dwanaście tysięcy pięćset trzydzieści cztery złote, pięćdziesiąt groszy).
Powyższa wiadomość jest skierowana na oficjalną skrzynkę Państwa firmy w internecie – [tu adres email odbiorcy] oraz listem poleconym w terminie niepóźniejszym niż 3 dni od daty otrzymania elektronicznego potwierdzenia.
Data wszczęcia postępowania o naruszeniu własności przemysłowej: 8.09.2015
Data wysłania pisma windykacyjnego: 15.09.2015
Źródło informacji: Spółka Handlowa Wierzyciela
Z poważaniem,
Rafał Zygmunt
Wspólnik w Kancelarii TechRaf
Lwowska 5, 35-301 Rzeszów [email protected]
NIP: 7691954359, REGON: 140634290
NRB: 15 1140 2017 0000 4002 1305 3283
Otrzymaliśmy także drugi wariant wiadomości:
Informujemy, iż klient, Marian Dziędzielski „POMELO” Sp. z.o.o Hurtownia Gastronomiczna, reprezentowany przez kancelarię TechRAF Rafał Zygmunt przedłożył w dniu dzisiejszym pismo zawiadamiające o konieczności windykacji należnej kwoty 5483,34 PLN (Słownie, pięć tysięcy osiemset trzydzieści złotych, trzydzieści cztery grosze) od Państwa spółki w związku z niedotrzymaniem postanowień umowy handlowej pomiędzy Państwa przedsiębiorstwem, a „POMELO” Sp. z.o.o Hurtownia Gastronomiczna.
Wiadomość kierujemy na firmową skrzynkę pocztową – [tu adres email] oraz listem poleconym w ciągu 3 następujących dni.
Szczegóły nieuregulowanego rachunku wobec Państwa wierzyciela znajdują się pod podanym adresem
http://docs.techraf.eu/?fname=kancelaria__techraf_dokument_ZM83294301.doc
Skany faktur pochodzą z kolejno,
1.02.2015
1.03.2015
1.04.2015
1.05.2015
Prosimy o szczegółowe zapoznanie się z wymienionymi dokumentami.
W załączniku znajduję się również wezwanie do uregulowania zapłaty w terminie niepóźniejszym niż 30 września 2015 roku. Brak wpłaty na konto wierzyciela spowoduje wszczęcie postępowania sądowego oraz komorniczego przez kancelarię TechRAF, Rafał Zygmunt.
Z poważaniem,
Rafał Zygmunt
Wspólnik w kancelarii TechRAF.eu
Lwowska 5, 35-301 Rzeszów [email protected] +48 723 251 299
NIP: 7691954359, REGON: 140634290
NRB: 15 1140 2017 0000 4002 1305 3283
Strona „kancelarii”:
Strona „kancelarii”
Złośliwy plik:
- URL: http://update.microsoftcenter.info/download/Office_app.exe
- pierwsza obserwacja: 2015-09-15 12:21
- MD5: 935aa3b57a68e2631ebed2ff17a83f96
- SH1: 2a8ea63e413191c5bd6a917aa257b041ced8e463
- analiza VT (6/56)
- analiza Hybrid Analysis oraz próbka do pobrania
Tym razem, co ciekawe, nie jest to Smoke Loader, a wygląda na bankowego konia trojańskiego Carberp:
- serwer C&C: http://g3m0.org
- http://g3m0.org/us/ks/config.jpg – konfiguracja
- http://g3m0.org/us/ks/g.php – komunikacja C&C
Oprócz Carberpa złośliwy plik instaluje także drugi plik EXE, który nie został jeszcze przeanalizowany.
Dziękujemy wszystkim nadsyłającym próbki oraz analizy.
Komentarze
Dostałem identyczną wiadomość. Z racji prowadzenia agencji ubezpieczeniowej pot mnie zlał, ale na szczęście ten artykuł trochę mnie uspokoił. Sprawdzając REGON i NIP w wyszukiwarce GUS podmiot taki nie istnieje. Sama firma TechRaf jest zarejestrowana w Warszawie a nie jak w mailu w Rzeszowie. Co można z tym zrobić? Czy osoby wysyłające takie wiadomości mogą czuć się bezkarne??
Jak widać należy wszystko weryfikować, mieć niemal zero zaufania i nie wierzyć w tego typu straszenie. Gdyby Allianz faktycznie miał tego typu pretensje wysłałby je listem poleconym, prosił o spotkanie osobiste w takiej sprawie itp. Mail na pewno nie wystarcza, zwłaszcza w czasach pełnych spamu i wyrafinowanych bezczelnych ataków.
Tez to samo z tym ze chodziło o zadłużenie a nie znak towarowy. Sprawa juz na policji z tego co wiem. Dobrze być na bieżąco z security news ;)
Witam,
Dostałem to samo, również prowadzę multiagencję ubezpieczeniową.
Kontaktowałem się z właścicielem Kancelarii w Warszawie, i jest to znajomy mu problem, sam mówił, że to naciągacze.
Pozdrawiam,
!!! Uwaga!!!
Ta wiadomość zawiera program szyfrujący. Prosimy nie otwierać plików załączonych. To one są zarażone. Wirus trudny do wyleczenia. Otwarcie grozi kradzieżą wszystkich danych zawartych na komputerze. Prosimy o ostrożność.
a jeśli otworzyłem załączony link – co mam zrobić jak się zabezpieczyć
Witam,ja od razu zareagowałem,wysłałem otrzymanego maila do działu kontakt i podobnie po sprawdzeniu w CEiDG byłem spokojniejszy .Tez się zastanawiam czy można coś z tym zrobić ale obawiam się że ktoś się podszył pod kancelarię i nic nie wskóram.
Kurde, z3s nie szkoda Wam pisania ciągle o tym samym ?
Nie martw się o Adama, martw się o siebie
Właśnie dobrze że tak robi. Jest szansa że przestraszona osoba zacznie szukać informacji w google i trafi właśnie tutaj :)
To musi być świeża sprawa.
Przed chwilą dostałem informację od czytelnika, że otrzymał identycznego maila. Oszuści do tej pory ograniczali się do wysyłania pism wzywających do zapłaty za publikację znaku towarowego. Przykłady takich pism opublikowałem tutaj: http://znakitowarowe-blog.pl/przeczytaj-jezeli-chcesz-stracic-swoich-pieniedzy/
Czy wiadomo jak działa to złośliwe oprogramowanie?
Dostałam taką wiadomość. Wyrzuciłam ja do kosza, bo multiagencja nie wpółpracowałą i nie wpółpracuje z firma Allianz.
Ponawiam pytanie Sebastiana: Co można z tym zrobić?
W mojej firmie pracuje adwokat Rafał Zygmunt (personalia z maila). Myślicie, że to przypadek?
Witam,
Również przed chwila otrzymałem takiego maila i na szczęście zanim otworzyłem załącznik – wszedłem tutaj… to jakaś plaga!! Wczoraj dostałem z kancelarii adwokackiej podobnego maila i niestety w tamtym przypadku nie pomyślałem na czas. Zastanawiam się czy zgłosić sprawe na policji?!
Zaraz pewnie pojawią się głosy, że Z3S robi im zwykłą reklamę. Że podobnie jak w przypadku alarmów bombowych jest niepisana dziennikarska reguła, żeby takich przypadków zbytnio nie nagłaśniać, by nie inspirowała innych.
Z drugiej strony dziennikarska etyka nakazuje, informowanie potencjalnych poszkodowanych, żeby uważali.
Zarzuty, że przestępcy działają z myślą: „opublikują informację o ataku czy nie” może i mają swoje odbicie w rzeczywistości ale głównie u tych świeżych w biznesie.
Generalnie państwo hakerskie chce działać w ciszy.
Ja bym bardziej upatrywał w tej całej akcji drugiego dna.
Podejrzewam, że atak tak naprawdę jest skierowany w innym kierunku. Zakładając „normalną” ścieżkę hakerską, po ogłoszeniu pierwszej wpadki, fiat by się wycofał, jednak ktoś usilnie ich promuje.W mojej opinii odwraca uwagę.
Może być jakieś drugie dno, łącznie z obcymi służbami, konkurencją chcącą nielegalnie zdobyć dane z firm w swojej branży itp. To już zadanie dla detektywów i śledczych, a może też wywiadu i kontrwywiadu. Swoją drogą jedynymi, którzy zasłużyli na atak są prawnicy wyłudzający opłaty za zaniechanie wszczęcia śledztwa w sprawie rzekomych naruszeń praw autorskich w stylu posądzenia o nielegalne ściągnięcie jakiegoś filmu (są kancelarie wyspecjalizowane w tym procederze, na szczęście raczej margines rynku kancelarii prawnych, ale margines dokuczliwy dla internautów). Oczywiście autorami ataku na takie szemrane podmioty w państwie prawa (no powiedzmy Polska jest państwem prawa, szkoda że tylko częściowo) powinni być nie hakerzy, ale prokuratura, która niestety jest u nas w takich sprawach mało skuteczna (elegancko powiedziane). To samo należy się trollom patentowym (problem głównie w USA). Tam też sądy nie radzą sobie z oczywistymi wyłudzeniami pod pretekstem naruszenia patentów.
A ja mam pytanie z innej beczki, pewnie dla wielu z was, bardziej doświadczonych, śmieszne. Czemu ma służyć umieszczanie w dole tekstu hash’u pliku w MD5 i SH1 ? (Wiem czym są algorytmy haszujące)
Standard identyfikacji pliku, pomoże tu trafić komuś kto będzie szukał w Google
Adam,MD5 jest jednak trochę wrażliwe na kolizje :D
Przypuszczam,że @GRG o to chodzi.Aha: SH-1 googlując mi wyrzuca aparat fotograficzny – Chodzi chyba o SHA-1… Co prawda MD5 i SHA-1 są nadal używane choćby jeśli chodzi o iso linuxa,ale osobiście bardziej ufam sha256 (czyli de facto sha-2),a MD5 już nie ufam za grosz.
No i? Na serio myslisz że fiat126pteam albo Thomas będą robić kolizje MD5? I z czym, kalkulatorem? A złośliwy kod gdzie schowają?
Tak, są możliwe kolizje MD5, ale to nie powód, b nagle przestać używać tych haszy do opisywania EXE.
Owszem, jest. Nawet na YouTubie są dzisiaj tutoriale jak wygenerować kolizję w MD5. Tę funkcję należy odstawić do muzem, tak samo jak i SHA1 zresztą. Absolutnie nic dzisiaj nie stoi na przeszkodzie aby używać funkcji SHA2/SHA3. Szczególnie portal o bezpieczeństwie powinien faworyzować takie praktyki.
Do tworzenia bezpiecznych skrótów tam gdzie mają one znaczenie – z przyjemnością. Tu nadal nikt nie pokazał ryzyka związanego z MD5 do oznaczenia malware w artykule. Ciągle czekam, co złego może się wydarzyć jak użyję ponownie MD5 w kolejnej kampanii. Więcej kreatywności!
chetnie zobacze jak kolega Marcin generuje kolizje dla wymienionych w artykule binarek korzystajac z technik w filmikach na yt. bez lipy oferuje bounty w wysokosci 200 PLN jak sie uda. pzdr i rozluzniamy zwieracze;)
Solone hashe MD5 już nie są podatne na kolizje – są odporne atak z użyciem tęczowych tablic i bez znajomości soli nic nie zdziałasz.
.
VeriSign od kilku dobrych lat nie zaleca używania niesolonych MD5. Dlatego na stronach Linuxowych distro i rodziny BSD, masz podane co najmniej 2 hashe: MD5 i któryś z SHA (jest kilka SHA).
Można skorzystać z https://www.cert.pl/formularz/formularz.php?lang=pl , jeśli ktoś odczuwa taką wewnętrzną potrzebę.
Minie październik, zacznie się szkoła/studia i ataki ustaną.
Witam,
a jeśli ktoś pobrał to dziadostwo i próbował uruchomić, ale Windows zablokował możliwość otwarcia, to czy są powody do obaw?
A co zrobić gdy ktoś ściągnął to dziadostwo, ale zapora systemu zablokowała uruchomienie pliku? Czy komputer został zainfekowany?
Jeśli komputer zablokował plik to OK, ale i tak wgrałbym na pendrive antywirusa ze swoim własnym systemem (zwykle linuksem) i nim przeskanował kompa (są takie narzędzia m.in. Kaspersky Rescue Disk). Mając Norton Security można tez uruchomić Norton Power Eraser. Są też narzędzia, takie jak: Kaspersky Virus Removal Tool pozwalające usunąć zagrożenie i po użyciu samoczynnie się odinstalują. Wokół Kasperskiego są ostatnio pewne kontrowersje, ale nie są to przecież jedyne narzędzia tego typu. Skoro komputer zablokował otwarcie pliku, to jest szansa, że nie dopuścił wirusa, ale gruntowne skanowanie trzeba zrobić i na wszelki wypadek odłączyć NAS, zakładając, że kopia danych została zrobiona przed incydentem.
Jak narazie przeskanowałem system Bitdefenderem, który mam zainstalowany i on wykrył jedno zagrożenie (prawdopodobnie niepowiązane z tym zdarzeniem). Aktualnie skanuję Eset Online Scannerem i wykrył kilka w lokalizacji Win32. Czy mógłbyś troszkę naświetlić metodę o której napisałeś? Chodzi o to by zainstalować na pendrive linuxa i na nim także antywirus i po odpaleniu komputera na linuxie dokonać skanowania dysków? I na czym polega „na wszelki wypadek odłączyć NAS”. Z góry serdecznie dziękuję, bo jestem zielony w tym temacie.
Pozdrawam
Ściągnij sobie rosyjskiego Dr. Weba – bardzo dobry AV pracujący właśnie jako LiveCD/LiveUSB. Tutaj URL do pliku który spreparuje Ci gotowy pendrive z tym antywirusem: http://download.geo.drweb.com/pub/drweb/livedisk/drweb-livedisk-900-usb.exe Na stronie http://www.freedrweb.com/livedisk/ gdy najedziesz myszką na ten plik EXE, to pokaże Ci się suma MD5 którą sobie sprawdź po pobraniu. AV mimo że rosyjski, posiada polski interfejs – jest dostępny już po załadowaniu środowiska graficznego. Używam go od lat, podobnie jak ClamAV, Comodo AV, Kasperski AV. To bardzo dobry AV.
Paweł miał zapewne na myśli to, że NAS też może być już zainfekowany. Tego NASa także należy sprawdzić AV: albo zmapować jego dysk(i) i je przeskanować, albo wyjąć fizycznie dysk(i) z tego NASa i także je przeskanować.
Tak, wyciagnac dyski i zeskanowac…
A jak nie wykryje pod winzgroza poprawnie dysku to co ma zrobic?
Jak ma zapiety RAID na tych dyskach, to prosze o ostroznosc z takimi poradami ;)
Bo sie chlopak pozbedzie i robala i danych ;)
Dziękuję za rady i informacje. Wykażę się pewnie dużą dozą „noobizmu”… ale rozwińcie proszę skrót NAS, bo nie wiem co to :)
Pozdrawiam i dziękuję
Wyjątkowo, Google search „NAS”, przykładowy link: https://pl.wikipedia.org/wiki/Network_Attached_Storage
W dużym uproszczeniu, to po prostu dysk sieciowy.
.
Nie zadawaj tutaj takich pytań, bo zostaniesz okrzyczany;)
Bo nawet jak nie znasz się na IT, to odpalić Google’a i poszukać, chyba potrafisz?
Dzięki raz jeszcze za wszystkie odpowiedzi i już milknę na wieki :)
PS No to właśnie poszukałem https://pl.wikipedia.org/wiki/Nas
No powiem, że wreszcie ataki zaczęły być ciekawe, bo długi czas były to banalne do identyfikacji próby naciągania typu „kup pan cegłę”.
A te ataki fiata126p zaczynają mieć ręce i nogi – oczywiście w rzeczywistości są one równie naciągane jak inne – jednak na przeciętnego kowalskiego, który nie wie, że taki mail można spokojnie wsadzić sobie do śmieci, bo nie ma żadnej mocy prawnej może zrobić wrażenie, czego skutkiem będzie zrobienie w gacie oraz potrzeba silniejsza od zdrowego rozsądku, aby otworzyć załącznik.
Wyrabiają się miśki.