27.05.2016 | 10:56

Adam Haertle

Przedsiębiorcy, uwaga na ataki podszywające się pod polskie urzędy GUS i PIP

W ostatnich dniach do skrzynek internautów trafiają wiadomości których nadawcy podszywają się pod Główny Urząd Statystyczny oraz Państwową Inspekcję Pracy a ich treść ma za zadanie przekonać przedsiębiorców do uruchomienia załącznika.

Przestępcy jak zawsze wiedzą, że najlepiej manipuluje się odbiorcą grając na jego emocjach. Wysyłane przez nich wiadomości bazują na strachu przedsiębiorcy przed urzędową kontrolą lub niewypełnieniem jednego z licznych obowiązków.

Obowiązkowe sprawozdanie o działalności gospodarczej przedsiębiorstw

Taki tytuł nosi wiadomość poczty elektronicznej którą od środy mogli otrzymywać przedsiębiorcy. Jej zawartość wygląda następująco:

Treść fałszywej iadomości

Treść fałszywej wiadomości

Szanowni Państwo,

Informujemy, że Wasza firma została wylosowana do udziału w obowiązkowej ankiecie SP-3 „Sprawozdanie o działalności gospodarczej przedsiębiorstw za 2015 r.”. Prawny obowiązek przekazywania danych statystycznych wynika z art. 30 pkt 3 ustawy z dnia 29 czerwca 1995r. o statystyce publicznej (Dz. U. Nr 88, poz 439, z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 9 listopada 2010 r. w sprawie programu badań statystycznych statystyki publicznej na rok 2011 (Dz. U. Nr 239, poz. 1594, z późn. zm.).

Prosimy o pobranie pisma klikając tutaj lub przechodząc na stronę www.gusgov.pl/sprawozdanie_2016.rar oraz wypełnienie go drukowanymi literami. Hasło do archiwum to: sprawozdanie. W ciągu 14 dni skontaktuje się z Państwem nasz konsultant w celu potwierdzenia wypełnienia formularza oraz umówienia terminu odbioru dokumentów.

Dyrektor Urzędu Statystycznego w Warszawie
Zofia Kozłowska

Informacja dla sprawozdawcy.
Wiadomość wygenerowana automatycznie. Prosimy na nią nie odpowiadać oraz oczekiwać kontaktu.

Wiadomość została dość dobrze przygotowana. Przestępcy dzień przed rozpoczęciem wysyłki zarejestrowali domenę gusgov.pl, łudząco podobną do prawdziwego adresu GUSu. Pod adresem

http://gusgov.pl/sprawozdanie_2016.rar

kryło się archiwum zawierające złośliwe oprogramowanie ukryte w pliku o nazwie

dz.u.nr.88.pdf.pif

Nie wiemy jeszcze, co mieszkało w pliku, ale może komuś przydadzą się takie informacje:

  • MD5: 6ff7ebec05c80df56ad3c2c0092fa32a
  • link do VT
  • łączy się z adresami IP 185.118.142.116 oraz 92.122.241.225
  • IP 185.118.142.116 powiązane jest m. in. z domeną aktualizacje240.pl

GUS najwyraźniej wie już o problemie, ponieważ zamieścił na swojej witrynie odpowiedni komunikat. Domena gusgov.pl już wczoraj nie odpowiadała na próby połączenia.

Informacja o kontroli Panstwowej Inspekcji Pracy w Panstwa firmie

Dzisiaj z kolei dostajemy zgłoszenia kolejnego oszustwa, gdzie tym razem nadawca podszywa się pod Państwową Inspekcję Pracy. Wiadomość wygląda następująco:

Wiadomość oszustów

Wiadomość oszustów

Nie zawiera innej treści oprócz stopki, za to towarzyszy jej załącznik o nazwie

26_05_2016 Powiadomienie.docm

Jest to plik Worda, próbujący nakłonić odbiorcę do uruchomienia makr.

Widok zawartości załącznika

Widok zawartości załącznika

Uruchomienie makro skutkuje pobraniem pliku z adresu zlokalizowanego na serwerach KEI.PL

http://excel.tinydns.space/excel.exe

Excel.exe to samorozpakowujące się archiwum RAR, zawierające dwa pliki: gg.exe oraz 0023starthav.exe. Szczegóły pliku:

  • excel.exe: MD5 cfd5a824ef40f020133bf25968be9cb4, link do VT
  • gg.exe: MD5 f80156c7d714d7dca07a400858d75695, link do VT
  • 0023starthav.exe: MD5 6ff7ebec05c80df56ad3c2c0092fa32a, link do VT

Zawartość to ransomware  Encryptor RaaS, działające w modelu „ransomware as a service”, gdzie autor oprogramowania szyfrującego udostępnia je pobierając niewielką prowizję od klientów. Stawka za odszyfrowanie to ok. 100 dolarów.

Strona ransomware

Strona ransomware pod adresem http://zem6b3aofh2ysehq.onion

Podsumowanie

Przestępcy sprytnie wybrali moment swoich ataków, gdy odbiorcy, rozproszeni drugą majówką, mogą w przypływie stresu podjąć nieracjonalną decyzję i otworzyć otrzymaną wiadomość. Przed takim atakiem w 100% nie uchronią żadne mechanizmy, jednak pomóc mogą odpowiednie szkolenia dla pracowników.

Dziękujemy Czytelnikom nadsyłającym próbki ataków.

Powrót

Komentarze

  • 2016.05.27 12:32 Norbert z Klanu na TVP

    Poziom polskich chakerow ogranicza sie do pobranych za darmo zlosliwych makr i softu do kryptowania. Pewnie da sie to zdekryptowac Panda. Jednym slowem, poziom slynnego Albanskiego wirusa komputerowego.

    Odpowiedz
    • 2016.05.27 14:47 Tomek

      Obawiam się że niestety może być skuteczny.

      Odpowiedz
  • 2016.05.27 13:10 xml

    Nie jest ważny poziom ataku, ważne że jest skuteczny. Po przeszkoleniu personelu w BOK’u lipne emaile szły do mnie w celu weryfikacji, ale też (o czym się dowiedziałem przez przypadek) i do księgowości bo gł. księgowa sama wolała to oceniać czy wirus czy nie…

    Odpowiedz
    • 2016.05.27 17:13 cuowiek

      Księgowe najbardziej przemądrzałe zawsze i potrafią narobić największego bałaganu.

      Odpowiedz
  • 2016.05.27 15:19 Jaro070

    Wklejam nagłówki e-maila od „GUS”, gdyby ktoś był zainteresowany:


    Received: by 10.194.82.35 with SMTP id f3csp121319wjy; Fri, 27 May 2016
    05:30:33 -0700 (PDT)
    X-Received: by 10.25.8.3 with SMTP id 3mr4322884lfi.200.1464352232933; Fri, 27 May 2016 05:30:32 -0700 (PDT)
    Return-path:
    Received: from allegropayu.pl (ajk9.rev.netart.pl. [77.55.244.9]) by
    mx.google.com with ESMTP id n34si11271618lfi.264.2016.05.27.05.30.32 for
    ; Fri, 27 May 2016 05:30:32 -0700 (PDT)
    Received-SPF: pass (google.com: domain of [email protected] designates 77.55.244.9 as permitted sender) client-ip=77.55.244.9;
    Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 77.55.244.9 as permitted sender) [email protected]
    Received: by allegropayu.pl (Postfix, from userid 33) id 7E3D62980E31; Fri, 27
    May 2016 14:30:32 +0200 (CEST)
    Date: Fri, 27 May 2016 14:30:32 +0200
    To: ***
    From: =?utf-8?B?R8WCw7N3bnkgVXJ6xIVkIFN0YXR5c3R5Y3pueQ==?=

    Subject: =?utf-8?B?T2Jvd2nEhXprb3dlIHNwcmF3b3pkYW5pZSBvIGR6aWHFgmFsbm/Fm2NpIGc=?=
    =?utf-8?B?b3Nwb2RhcmN6ZWo=?=
    Message-ID:
    X-Priority: 3
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary=”b1_f3d3b4b578a89ac7e325a71c1e212357″

    Odpowiedz
  • 2016.05.27 20:42 ktos

    Adres GUS jest inny – stat.gov.pl
    Współczuję Wam księgowych, zmieńcie je na jakieś rozumne. Takie niestety nie są tanie – oszczędności się mogą zemścić ;)

    Odpowiedz
  • 2016.05.27 21:23 Roman

    Co żeście wy zrobi z mobilna wersja z3s

    Odpowiedz
    • 2016.05.28 17:50 Adam

      No właśnie, co?

      Odpowiedz
  • 2016.05.28 15:59 Chris

    Oj naiwnych szukają… GUS ma adresy w domenie stat.gov.pl, w a „dyrektor” Zofia Kozłowska nie istnieje. A w/w sprawozdanie jest tylko wypełniane w portalu sprawozdawczym.

    Odpowiedz
  • 2016.05.30 20:36 Beata

    Też dziś takiego dostałam od „[email protected]” i od razu postanowiłam poszukać w sieci.
    Hmm … w firmie zajmuję się również księgowością …

    Odpowiedz
  • 2016.06.03 22:50 Marcin

    Pomozcie Co powinienem zrobić jeżeli wszedłem na ten gowniany link w ramach tej wiadomości z adresu gusgov.pl?

    Odpowiedz
    • 2016.06.04 09:02 Adam

      A pobrałeś i uruchomiłeś załącznik?

      Odpowiedz
  • 2016.07.28 18:45 Adam

    Hej, czy jest już lekarstwo na tego meila ?
    Mam zaszyfrowany dysk ….

    Odpowiedz

Zostaw odpowiedź do Tomek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Przedsiębiorcy, uwaga na ataki podszywające się pod polskie urzędy GUS i PIP

Komentarze