Uwaga na fałszywe wiadomości podszywające się pod sklep Morele.net

dodał 24 listopada 2017 o 22:23 w kategorii Złośniki  z tagami:
Uwaga na fałszywe wiadomości podszywające się pod sklep Morele.net

Nasz ulubiony przestępca, jak to często ma w zwyczaju, ponownie uderza w piątek po południu. Wiele eksperymentował z momentami i technikami ataku, więc pewnie nie bez powodu swoje wiadomości wysyła tuż przed weekendem.

Tym razem Thomas, bo to jego kolejna kampania, sporo eksperymentuje z rodzajami plików infekujących użytkowników. Mamy już dwa szablony ataku, w obu podszywa się pod sklep Morele.net.

Faktura VAT do zamówienia nr 4389844

Pierwsze egzemplarze złośliwych wiadomości trafiły do nas około godziny 15. Pierwsza fala rozsyłana była pod tematem „Faktura VAT do zamówienia nr 4389844” i wyglądała tak:

Dzień dobry!
Przesyłamy fakturę VAT do zamówienia numer 4389844
Dziękujemy za dokonanie zakupów w naszym sklepie. Mamy nadzieję, że zakupione produkty spełnią Państwa oczekiwania. Jednocześnie zapraszamy do kolejnych zakupów na www.Morele.net

Co ciekawe, trafił do nas egzemplarz, który w załączniku miał plik #PDF faktura_4389844.svg o następującej treści:

To pierwszy znany nam przykład próby ataku z użyciem pliku SVG w Polsce. Kod w pliku może się wykonać, jeśli pozwolicie na to np. Internet Explorerowi (powinien Was najpierw zapytać, czy chcecie uruchomić kontrolkę ActiveX). Kod po odciemnieniu wygląda tak:

W pliku seagate.exe mieszka dobrze nam znany ransomware Flotera.

W innej wersji w załączniku był plik

a w nim z kolei plik

o treści

po zdekodowaniu dający

Domena ta sama, plik ten sam – tylko folder inny.

Kilka godzin później pojawiła się bardzo podobna wiadomość z tematem „Morele.net Potwierdzenie zakupu nr 5775747”, różniąca się także numerem zamówienia w załączniku. Tym razem w archiwum był plik

o treści

dającej po zdekodowaniu

czyli trzecią ścieżkę do tego samego pliku na tym samym serwerze.

Sam ransomware  korzysta z domeny ssl-msupdate.eu () oraz adresów email Hc9@2.pl i Hc9@goat.si.

Informacje o domenach:

Wiadomości email także otrzymane z serwerów nazwa.pl

Dziękujemy wszystkim Czytelnikom podsyłającym próbki.