Uwaga na atak podszywający się pod polisę Nationale Nederlanden

dodał 3 czerwca 2017 o 12:07 w kategorii Złośniki  z tagami:
Uwaga na atak podszywający się pod polisę Nationale Nederlanden

Jest już dobrze utrwaloną tradycją że na początku każdego miesiąca do skrzynek naszych Czytelników trafia nowa kampania złośliwego oprogramowania podszywająca się pod znaną markę działającą na polskim rynku.

W tym miesiącu zaczynamy od marki Nationale Nederlanden. Od piątkowego popołudnia do skrzynek firm w całej Polsce trafiają wiadomości podszywające się pod tego znanego ubezpieczyciela. Autorem kampanii jest „ten sam co zawsze”, znany jako Thomas. Szczegóły poniżej.

Polisa nr 38298

Wiadomość ma temat „Polisa nr 38298” i wygląda następująco:

Szanowni Państwo,

Adresatem wiadomości jest : ***
W załączeniu przesyłamy pismo wystawione dnia 02.06.2017 .
Przesłany załącznik jest w formacie zip. Należy zapisać go na pulpicie a następnie rozpakować.
Oto hasło potrzebne do wypakowania: CaiGA3@23lz
Pozdrawiamy,
Zespół Obsługi Klientów Korporacyjnych
Nationale-Nederlanden
ul. Topiel 12, 00-342 Warszawa
T 801 20 30 40,
M (+48) 22 522 71 24
E info.grupowe@nn.pl
www.nn.pl

**** Wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać ***
W przypadku pytań prosimy o kontakt:
W sprawach związanych ze świadczeniami: swiadczenia.grupowe@nn.pl
W pozostałych sprawach: info.grupowe@nn.pl

Wysoki poziom personalizacji

Autor się tym razem postarał i wiadomość jest dostosowywana do odbiorcy. Adresy email prawdopodobnie pobrane zostały z bazy firm, ponieważ wszystkie zaobserwowane przez nas przypadki reprezentowały tę kategorię odbiorców. Nazwa firmy znajduje się zarówno w polu „do” jak i w treści wiadomości, co zwiększa szanse kliknięcia przez odbiorce w załącznik.

W załączniku znajduje się plik

Polisa nr 38298 PDF.zip

zawierający katalog

Polisa nr 38298

W nim z kolei znajduje się plik

Nationale Nederlande - Polisa nr 38298 PDF.7z

zabezpieczony hasłem z treści emaila. W nim z kolei znajduje się folder

Polisa nr 38298

a w tym folderze w końcu plik

Polisa nr 38298 PDF.js

Na wytrwałych klikaczy którzy dotrą aż tak daleko w ostatnim pliku czeka znajomy koń trojański w JavaScripcie vjw0rm z serwerem C&C pod adresem

http://pljune.ddns.ms:1742/Vre

Serwer C&C znajduje się pod IP 185.145.44.11 który znamy z wielu wcześniejszych ataków tego samego nadawcy. Nagłówki wiadomości:

Received: from [10.2.146.8] (unknown [195.12.50.30])
	by hok.nazwa.pl (Postfix) with ESMTP id 49E5637ED50
	for <biuro@.pl>; Fri,  2 Jun 2017 14:18:49 +0200 (CEST)
Reply-To: <info-grupowe@nn.pl>
From:"info-grupowe@nn.pl" <info-grupowe@nn.pl>
[...]
X-Mailer: PHPMailer 5.2.18 (https://github.com/PHPMailer/PHPMailer/)

Sumy kontrolne plików:

11476c361026aabf859d5fe92cb8c01aa91318e8bcccc2cefb30f2d66ffc4c1c&nbsp;Polisa nr 38298 PDF.zip
707a7a616a70b9145e12acdbee286f68181359d1610cc723cee08675e6b398fb&nbsp;Nationale Nederlande - Polisa nr 38298 PDF.7z
2a46c4e7f0773815dc6dfdb7c92063087dab4bae78b10d95db4d71bd5c3e8b3d&nbsp;Polisa nr 38298 PDF.js

Dziękujemy wszystkim, którzy przekazali nam próbki ataku.