Uwaga na fałszywe faktury za energię elektryczną od PGE

dodał 1 czerwca 2016 o 14:58 w kategorii Info, Złośniki  z tagami:
Uwaga na fałszywe faktury za energię elektryczną od PGE

Do skrzynek Polaków trafia własnie dobrze przygotowana próba oszustwa. Przestępcy podszywają się pod Polską Grupę Energetyczną i rozsyłają powiadomienia o rzekomej fakturze wymagającej opłacenia. Uważajcie.

Złośliwe wiadomości trafiające do skrzynek Polaków najczęściej są do siebie bardzo podobne. W tym przypadku jest inaczej – przestępcy wykorzystują niektóre elementy ataku, których wcześniej nie spotkaliśmy, zatem przyjrzyjmy się tej kampanii.

eFaktura za energie elektryczna

Temat rozsyłanej wiadomości brzmi

eFaktura za energie elektryczna [tu 10 cyfr]

Sama wiadomość wygląda następująco:

Wygląd wiadomości

Wygląd wiadomości

Choć z pozoru dobrze przygotowana, przy uważniejszej analizie wiadomość wydaje się jednak nieco niechlujna. Polskie znaki wstawione są wręcz losowo (należnośc, dowiedź, szczeg’ołową), brak polskich znaków w temacie wiadomości a sformułowanie „Pobrać szczegółową fakturę” trąci translatorem. Pod oboma guzikami kryje się taki sam link w postaci np.:

http://fsiglobal.net/[11 losowych znaków]/[10 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]
http://spaltron.net/[11 losowych znaków]/[16 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]
http://laureldeazucar.com/[9 losowych znaków]/[6 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]

Serwisy fsiglobal.net, spaltron.net czy lureldeazucar.com wydają się być ofiarą przestępców. Przekierowują one połączenia do kolejnego serwisu, gdzie adres ma postać:

http://[kilka losowych znaków].pge-ebok34.biz/[kilka losowych znaków].php?id=[stały identyfikator]=&num=[stałe cyfry]

Każde wywołanie przekierowania powoduje wygenerowanie nowego linku do innej subdomeny i do innego URLa. Udało się nam także trafić raz na domenę

http://[kilka losowych znaków].pge-ebok14.org

gdzie pozostała część adresu była skonstruowana w identyczny sposób. Użycie dynamicznych subdomen i fragmentów URL nie jest rewolucją, jednak nie spotkaliśmy się wcześniej w Polsce z takim schematem generowania adresów URL zapraszających do pobrania złośliwego oprogramowania. Prawdopodobnie ma on na celu utrudnienie tworzenia filtrów złośliwych adresów lub lepszą identyfikację ofiar.

Pod drugim adresem odwiedzającego wita taka witryna:

Strona przestępców

Strona przestępców

Wpisanie prawidłowego kodu CAPTCHA skutkuje pobraniem pliku

PGE_eFaktura.zip

o rozmiarze zaledwie 1829 bajtów, zawierającego skrypt JS o nazwie PGE_eFaktura.js. Skrypt zawiera zaciemniony kod JS którego jeszcze nie analizowaliśmy – najprawdopodobniej pobiera docelowy plik binarny z zewnętrznego serwera i go uruchamia.

Obie domeny używane w ataku zostały zarejestrowane 30 maja tego roku i są hostowane w serwerowni Hetznera. Chwilowo wskazują na adres IP 5.9.253.168. Analiza tego adresu IP pokazuje ciekawa historię powiązanych z nim domen:

2016-06-01 dt3.pge-ebok14.org
2016-05-26 ebok-gkpge17.com
2016-05-26 ebok-gkpge29.net
2016-05-26 ebok-gkpge34.org
2016-05-26 ebok-gkpge45.org
2016-05-26 ebok-gkpge64.com
2016-05-15 sledzenie-zasilek23.org
2016-05-15 sledzenie-zasilek61.com
2016-05-15 sledzenie-zasilek67.net
2016-05-15 sledzenie-zasilek92.biz
2016-05-12 fxf1.poczta-polska-info24.com
2016-05-12 poczta-polska-info72.net
2016-05-12 poczta-polska-info84.net
2016-05-12 poczta-polska-info96.org
2016-05-12 zge.poczta-polska-info24.com
2016-05-11 o21.poczta-polska-info72.net
2016-05-11 tpa4.poczta-polska-info84.net

Jeśli macie informacje o powiązanych z nimi atakach to czekamy na kontakt. Na razie trafiliśmy tylko na ślad Cryptolockera:

Aktualizacja 2016-06-01 15:15

Jak informuje Krzysztof (dziękujemy!) z sieci pobierany jest ransomware przedstawiający się jako Crypt0L0cker. Stawka za odszyfrowanie plików to 1299 PLN.

Tu już wyraźne ślady translatora.

Tu już wyraźne ślady translatora.

Podobne wpisy