Przedsiębiorcy, uwaga na ataki podszywające się pod polskie urzędy GUS i PIP

dodał 27 maja 2016 o 10:56 w kategorii Info, Złośniki  z tagami:
Przedsiębiorcy, uwaga na ataki podszywające się pod polskie urzędy GUS i PIP

W ostatnich dniach do skrzynek internautów trafiają wiadomości których nadawcy podszywają się pod Główny Urząd Statystyczny oraz Państwową Inspekcję Pracy a ich treść ma za zadanie przekonać przedsiębiorców do uruchomienia załącznika.

Przestępcy jak zawsze wiedzą, że najlepiej manipuluje się odbiorcą grając na jego emocjach. Wysyłane przez nich wiadomości bazują na strachu przedsiębiorcy przed urzędową kontrolą lub niewypełnieniem jednego z licznych obowiązków.

Obowiązkowe sprawozdanie o działalności gospodarczej przedsiębiorstw

Taki tytuł nosi wiadomość poczty elektronicznej którą od środy mogli otrzymywać przedsiębiorcy. Jej zawartość wygląda następująco:

Treść fałszywej iadomości

Treść fałszywej wiadomości

Szanowni Państwo,

Informujemy, że Wasza firma została wylosowana do udziału w obowiązkowej ankiecie SP-3 „Sprawozdanie o działalności gospodarczej przedsiębiorstw za 2015 r.”. Prawny obowiązek przekazywania danych statystycznych wynika z art. 30 pkt 3 ustawy z dnia 29 czerwca 1995r. o statystyce publicznej (Dz. U. Nr 88, poz 439, z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 9 listopada 2010 r. w sprawie programu badań statystycznych statystyki publicznej na rok 2011 (Dz. U. Nr 239, poz. 1594, z późn. zm.).

Prosimy o pobranie pisma klikając tutaj lub przechodząc na stronę www.gusgov.pl/sprawozdanie_2016.rar oraz wypełnienie go drukowanymi literami. Hasło do archiwum to: sprawozdanie. W ciągu 14 dni skontaktuje się z Państwem nasz konsultant w celu potwierdzenia wypełnienia formularza oraz umówienia terminu odbioru dokumentów.

Dyrektor Urzędu Statystycznego w Warszawie
Zofia Kozłowska

Informacja dla sprawozdawcy.
Wiadomość wygenerowana automatycznie. Prosimy na nią nie odpowiadać oraz oczekiwać kontaktu.

Wiadomość została dość dobrze przygotowana. Przestępcy dzień przed rozpoczęciem wysyłki zarejestrowali domenę gusgov.pl, łudząco podobną do prawdziwego adresu GUSu. Pod adresem

kryło się archiwum zawierające złośliwe oprogramowanie ukryte w pliku o nazwie

Nie wiemy jeszcze, co mieszkało w pliku, ale może komuś przydadzą się takie informacje:

  • MD5: 6ff7ebec05c80df56ad3c2c0092fa32a
  • link do VT
  • łączy się z adresami IP 185.118.142.116 oraz 92.122.241.225
  • IP 185.118.142.116 powiązane jest m. in. z domeną aktualizacje240.pl

GUS najwyraźniej wie już o problemie, ponieważ zamieścił na swojej witrynie odpowiedni komunikat. Domena gusgov.pl już wczoraj nie odpowiadała na próby połączenia.

Informacja o kontroli Panstwowej Inspekcji Pracy w Panstwa firmie

Dzisiaj z kolei dostajemy zgłoszenia kolejnego oszustwa, gdzie tym razem nadawca podszywa się pod Państwową Inspekcję Pracy. Wiadomość wygląda następująco:

Wiadomość oszustów

Wiadomość oszustów

Nie zawiera innej treści oprócz stopki, za to towarzyszy jej załącznik o nazwie

Jest to plik Worda, próbujący nakłonić odbiorcę do uruchomienia makr.

Widok zawartości załącznika

Widok zawartości załącznika

Uruchomienie makro skutkuje pobraniem pliku z adresu zlokalizowanego na serwerach KEI.PL

Excel.exe to samorozpakowujące się archiwum RAR, zawierające dwa pliki: gg.exe oraz 0023starthav.exe. Szczegóły pliku:

  • excel.exe: MD5 cfd5a824ef40f020133bf25968be9cb4, link do VT
  • gg.exe: MD5 f80156c7d714d7dca07a400858d75695, link do VT
  • 0023starthav.exe: MD5 6ff7ebec05c80df56ad3c2c0092fa32a, link do VT

Zawartość to ransomware  Encryptor RaaS, działające w modelu „ransomware as a service”, gdzie autor oprogramowania szyfrującego udostępnia je pobierając niewielką prowizję od klientów. Stawka za odszyfrowanie to ok. 100 dolarów.

Strona ransomware

Strona ransomware pod adresem http://zem6b3aofh2ysehq.onion

Podsumowanie

Przestępcy sprytnie wybrali moment swoich ataków, gdy odbiorcy, rozproszeni drugą majówką, mogą w przypływie stresu podjąć nieracjonalną decyzję i otworzyć otrzymaną wiadomość. Przed takim atakiem w 100% nie uchronią żadne mechanizmy, jednak pomóc mogą odpowiednie szkolenia dla pracowników.

Dziękujemy Czytelnikom nadsyłającym próbki ataków.