01.06.2016 | 14:58

Adam Haertle

Uwaga na fałszywe faktury za energię elektryczną od PGE

Do skrzynek Polaków trafia własnie dobrze przygotowana próba oszustwa. Przestępcy podszywają się pod Polską Grupę Energetyczną i rozsyłają powiadomienia o rzekomej fakturze wymagającej opłacenia. Uważajcie.

Złośliwe wiadomości trafiające do skrzynek Polaków najczęściej są do siebie bardzo podobne. W tym przypadku jest inaczej – przestępcy wykorzystują niektóre elementy ataku, których wcześniej nie spotkaliśmy, zatem przyjrzyjmy się tej kampanii.

eFaktura za energie elektryczna

Temat rozsyłanej wiadomości brzmi

eFaktura za energie elektryczna [tu 10 cyfr]

Sama wiadomość wygląda następująco:

Wygląd wiadomości

Wygląd wiadomości

Choć z pozoru dobrze przygotowana, przy uważniejszej analizie wiadomość wydaje się jednak nieco niechlujna. Polskie znaki wstawione są wręcz losowo (należnośc, dowiedź, szczeg’ołową), brak polskich znaków w temacie wiadomości a sformułowanie „Pobrać szczegółową fakturę” trąci translatorem. Pod oboma guzikami kryje się taki sam link w postaci np.:

http://fsiglobal.net/[11 losowych znaków]/[10 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]
http://spaltron.net/[11 losowych znaków]/[16 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]
http://laureldeazucar.com/[9 losowych znaków]/[6 losowych znaków].php?id=[adres email odbiorcy]&num=[10 cyfr]

Serwisy fsiglobal.net, spaltron.net czy lureldeazucar.com wydają się być ofiarą przestępców. Przekierowują one połączenia do kolejnego serwisu, gdzie adres ma postać:

http://[kilka losowych znaków].pge-ebok34.biz/[kilka losowych znaków].php?id=[stały identyfikator]=&num=[stałe cyfry]

Każde wywołanie przekierowania powoduje wygenerowanie nowego linku do innej subdomeny i do innego URLa. Udało się nam także trafić raz na domenę

http://[kilka losowych znaków].pge-ebok14.org

gdzie pozostała część adresu była skonstruowana w identyczny sposób. Użycie dynamicznych subdomen i fragmentów URL nie jest rewolucją, jednak nie spotkaliśmy się wcześniej w Polsce z takim schematem generowania adresów URL zapraszających do pobrania złośliwego oprogramowania. Prawdopodobnie ma on na celu utrudnienie tworzenia filtrów złośliwych adresów lub lepszą identyfikację ofiar.

Pod drugim adresem odwiedzającego wita taka witryna:

Strona przestępców

Strona przestępców

Wpisanie prawidłowego kodu CAPTCHA skutkuje pobraniem pliku

PGE_eFaktura.zip

o rozmiarze zaledwie 1829 bajtów, zawierającego skrypt JS o nazwie PGE_eFaktura.js. Skrypt zawiera zaciemniony kod JS którego jeszcze nie analizowaliśmy – najprawdopodobniej pobiera docelowy plik binarny z zewnętrznego serwera i go uruchamia.

Obie domeny używane w ataku zostały zarejestrowane 30 maja tego roku i są hostowane w serwerowni Hetznera. Chwilowo wskazują na adres IP 5.9.253.168. Analiza tego adresu IP pokazuje ciekawa historię powiązanych z nim domen:

2016-06-01 dt3.pge-ebok14.org
2016-05-26 ebok-gkpge17.com
2016-05-26 ebok-gkpge29.net
2016-05-26 ebok-gkpge34.org
2016-05-26 ebok-gkpge45.org
2016-05-26 ebok-gkpge64.com
2016-05-15 sledzenie-zasilek23.org
2016-05-15 sledzenie-zasilek61.com
2016-05-15 sledzenie-zasilek67.net
2016-05-15 sledzenie-zasilek92.biz
2016-05-12 fxf1.poczta-polska-info24.com
2016-05-12 poczta-polska-info72.net
2016-05-12 poczta-polska-info84.net
2016-05-12 poczta-polska-info96.org
2016-05-12 zge.poczta-polska-info24.com
2016-05-11 o21.poczta-polska-info72.net
2016-05-11 tpa4.poczta-polska-info84.net

Jeśli macie informacje o powiązanych z nimi atakach to czekamy na kontakt. Na razie trafiliśmy tylko na ślad Cryptolockera:

Aktualizacja 2016-06-01 15:15

Jak informuje Krzysztof (dziękujemy!) z sieci pobierany jest ransomware przedstawiający się jako Crypt0L0cker. Stawka za odszyfrowanie plików to 1299 PLN.

Tu już wyraźne ślady translatora.

Tu już wyraźne ślady translatora.

Powrót

Komentarze

  • 2016.06.01 21:10 Zdzisław amryd

    Time left – czas lewo

    Polska język ciężka język ;d

    Skoro przestępcy (wolę określenie geniusze) tworzą takie oprogramowanie, to znaczy, że ludzie płacą i nadal się nabierają…

    A wystarczy czytać Niebezpiecznik ! :)

    Odpowiedz
  • 2016.06.01 21:11 Zdzisław amryd

    Zamieńcie tam Niebezpiecznik na Zaufaną, bo powaliły mi się artykuły – na obu serwisach jest o tym samym. Wybaczcie :D

    Odpowiedz
    • 2016.06.02 15:25 rockyou

      Na niebezpieczniku sa pudelkowe newsy. Z3S i sekurak warto czytac :)

      Odpowiedz
  • 2016.06.02 00:25 Dominik

    Dobrze że jeszcze nie podstawili swojego numeru konta :D

    Odpowiedz
  • 2016.06.02 12:55 drawer

    Dla mnie termin platnosci juz budzi watpliwosci. Zadna instytucja panstwowa ( a i prywatna tez nie powinna bo to nie zgodne prawem) nie da nam az tak krotkiego terminu – 2 dni w tym wypadku. Zwykle od dostania fv mamy od 7 do 14 a czasem i miesiac na zaplate…..

    Odpowiedz
  • 2016.06.02 14:53 Antek

    Jakieś rozwiązanie na to ?

    Odpowiedz
    • 2016.06.03 10:45 wat

      Nie być idiotą? :)

      Odpowiedz
  • 2016.06.02 19:47 Johny

    Nasi i tak wygrają.

    Odpowiedz
  • 2016.06.02 19:50 Johny

    @Antek- zapłacić.

    Odpowiedz
  • 2016.06.03 11:31 Mateusz

    A to windows automatycznie uruchamia skrypty js podczas rozpakowywania archiwum? Myślałem, że najwyżej wypakuje nam plik js, ale nic się nie wykona dopóki go ręcznie nie uruchomimy…

    Odpowiedz
  • 2016.06.05 17:17 jerry

    Podszywanie się pod istniejącą instytucję, zakład lub organizację winno być karalne z urzędu, szczególnie gdy w grę wchodzi próba wyłudzenie nienależnych opłat (a tak jest w tym przypadku). A co na to wszystko „prawdziwa” Polska Grupa Energetyczna?

    Odpowiedz
  • 2016.06.06 16:46 Mechanic

    A mnie zastanawia skąd mają mojego mejla ? :), na pewną skrzynkę na wp nigdy nie dostałem podejrzanych wiadomości, ale odkąd użyłem tego mejla do założenia konta na stronie big stara to od tamtej pory dostaje i emaile od poczty polskiej(ciekawostką było to że z każdym nowym mejlem przychodziły większe opłaty-kary) i od energi teraz, czy to big star stoi za tą akcją ?

    Odpowiedz
  • 2016.06.07 09:37 nowa fala z .ru

    Nowość z dziś:
    httpx://3745480.ru/hpEWPYfd/[email protected]&num=XXXXXXXXXX na ponad 1900 zł

    Odpowiedz
  • 2016.06.07 15:18 Slimek

    Witam, wykrada przy okazji, hasła do poczty email, potwierdzone na dwóch adresach na tym komputerze oba wyciekły i rozsyłały spam.

    Odpowiedz
  • 2016.06.08 06:31 nowa fala z .ru

    Kolejna ofiara, księgowość. Crypt0L0cker. Zaszyfrował kompa i zasoby sieciowe(!)

    Odpowiedz
  • 2016.06.08 14:24 Maciek

    Witam,
    Czy złośliwy kod wykonywany jest z poziomu przeglądarki czy należy wypakować archiwum i uruchomić plik?

    Odpowiedz
    • 2016.06.08 22:49 Maciek (inny)

      No też mnie to interesuje, bo na telefonie z androidem tapłem ten button do pobierania i wtedy dopiero do mnie dotarło co zrobiłem…

      Odpowiedz
    • 2016.06.10 00:04 nowa fala z .ru

      W moim przypadku było trzeba poszperac w archiwum .zip
      W nim była „niespodzianka”

      Odpowiedz
  • 2016.06.10 13:15 GZ

    Firma Dr Web potrafi rozszyfrować Crypt0Locker – koszt 150 euro, w cenie program do deszyfrowania i licencja na ich antywirus na rok. Na dowód wysyłają rozszyfrowany plik.

    Odpowiedz
  • 2016.06.14 08:08 haes

    wczoraj otrzymałem fakturę z PGE, link tym razem prowadzi do: http://aberfordcic.co.uk/9HYZqV7C0y/j3lx4A.php?id=&num=1105094338

    Odpowiedz
  • 2016.06.16 08:39 Kolejne

    linki z wczoraj: hxxp://low-interest-rate-debt-consolidation-loans.co.uk/orftZ/rs7eCbovKm5F.php?id=adres@email&num=0101010101

    Odpowiedz
  • 2016.07.11 18:40 Maciej

    Przed chwilą wylądowała u mnie też faktura prowadząca do:
    http://ksst.ru/T89sYvFQ/vk6wtTVo8.php?id=xxxxxx@xxxx&num=010101010

    Odpowiedz

Zostaw odpowiedź do Maciek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na fałszywe faktury za energię elektryczną od PGE

Komentarze