Uwaga na atak podszywający się pod polisę Nationale Nederlanden

dodał 3 czerwca 2017 o 12:07 w kategorii Złośniki  z tagami:
Uwaga na atak podszywający się pod polisę Nationale Nederlanden

Jest już dobrze utrwaloną tradycją że na początku każdego miesiąca do skrzynek naszych Czytelników trafia nowa kampania złośliwego oprogramowania podszywająca się pod znaną markę działającą na polskim rynku.

W tym miesiącu zaczynamy od marki Nationale Nederlanden. Od piątkowego popołudnia do skrzynek firm w całej Polsce trafiają wiadomości podszywające się pod tego znanego ubezpieczyciela. Autorem kampanii jest „ten sam co zawsze”, znany jako Thomas. Szczegóły poniżej.

Polisa nr 38298

Wiadomość ma temat „Polisa nr 38298” i wygląda następująco:

Szanowni Państwo,

Adresatem wiadomości jest : ***
W załączeniu przesyłamy pismo wystawione dnia 02.06.2017 .
Przesłany załącznik jest w formacie zip. Należy zapisać go na pulpicie a następnie rozpakować.
Oto hasło potrzebne do wypakowania: CaiGA3@23lz
Pozdrawiamy,
Zespół Obsługi Klientów Korporacyjnych
Nationale-Nederlanden
ul. Topiel 12, 00-342 Warszawa
T 801 20 30 40,
M (+48) 22 522 71 24
E info.grupowe@nn.pl
www.nn.pl

**** Wiadomość została wygenerowana automatycznie. Prosimy na nią nie odpowiadać ***
W przypadku pytań prosimy o kontakt:
W sprawach związanych ze świadczeniami: swiadczenia.grupowe@nn.pl
W pozostałych sprawach: info.grupowe@nn.pl

Wysoki poziom personalizacji

Autor się tym razem postarał i wiadomość jest dostosowywana do odbiorcy. Adresy email prawdopodobnie pobrane zostały z bazy firm, ponieważ wszystkie zaobserwowane przez nas przypadki reprezentowały tę kategorię odbiorców. Nazwa firmy znajduje się zarówno w polu „do” jak i w treści wiadomości, co zwiększa szanse kliknięcia przez odbiorce w załącznik.

W załączniku znajduje się plik

zawierający katalog

W nim z kolei znajduje się plik

zabezpieczony hasłem z treści emaila. W nim z kolei znajduje się folder

a w tym folderze w końcu plik

Na wytrwałych klikaczy którzy dotrą aż tak daleko w ostatnim pliku czeka znajomy koń trojański w JavaScripcie vjw0rm z serwerem C&C pod adresem

Serwer C&C znajduje się pod IP 185.145.44.11 który znamy z wielu wcześniejszych ataków tego samego nadawcy. Nagłówki wiadomości:

Sumy kontrolne plików:

Dziękujemy wszystkim, którzy przekazali nam próbki ataku.