Uwaga na nietypowy atak „Faktura za usługi Zastepczypojazd.pl dla Firm”

dodał 19 lipca 2017 o 23:52 w kategorii Złośniki  z tagami:
Uwaga na nietypowy atak „Faktura za usługi Zastepczypojazd.pl dla Firm”

Otrzymujemy liczne zgłoszenia o rozesłaniu do Waszych skrzynek emaili z nietypową zawartością. Ewidentnie wygląda to na próbę ataku, jednak nie wiemy do końca o co chodzi przestępcy – może Wam uda się to ustalić.

Czasem kampanie złośliwego oprogramowania zaskakują, a czasem nie działają. Tym razem wygląda na to, że mamy do czynienia z oboma zjawiskami naraz. A może to tylko wersja, która do nas dotarła, jest uszkodzona?

Faktura za usługi Zastepczypojazd.pl dla Firm

Email o temacie „Faktura za usługi Zastepczypojazd.pl dla Firm” podszywa się pod firmę Zastepczypojazd.pl i wygląda następująco:

Treść brzmi:

Dzień Dobry.
W załączniku przesyłamy fakturę za usługi świadczone Państwa firmie przez Zastępczypojazd.pl
Uprzejmie przy tym prosimy o informacje kiedy faktura zostanie opłacona.
Pozdrawiam Serdecznie
Marlena.
Zastępczypojazd.pl Sp. z o.o.
Ul. Władysława Łokietka 48
31-334 Kraków
Tel. 510-221-331
NIP: 9452182079 REGON: 360475709
e-mail: biuro@zastepczypojazd.pl
www.zastepczypojazd.pl

W załączniku przesyłany jest, co nietypowe, plik PDF. Jest to prawdziwy PDF, który zawiera kod przekierowujący do witryny znajdującej się pod adresem

Co ciekawe, jeśli otworzymy PDFa w Google Chrome, to na stronę docelową trafimy automatycznie – bez żadnego klikania. Z kolei np. Foxit wyświetli nam takie okienko:

Na stronie docelowej jedyne, co udało się nam załadować, to animowanego GIFa, którego przedstawiamy poniżej (jak klikniecie to dostaniecie wersję animowaną).

Jego ostatnia klatka informuje, że zaraz nastąpi pobieranie pliku – my jednak tego zaszczytu nie dostąpiliśmy i nie widzimy kodu odpowiedzialnego za ewentualne pobieranie właściwego złośliwego oprogramowania. Może Wy będziecie mieć więcej szczęścia. Plik PDF możecie pobrać pod tym linkiem. Sama domena zarejestrowana została dwa dni temu na dane zapewne przypadkowej osoby oraz adres email wrona@jo.pl.

Aktualizacja 2017-07-20 11:00

Obecnie strona serwuje już złośliwe oprogramowanie. W index.html pojawiło się

a w index3.html

Plik HTA z kolei pobiera i uruchamia

a tam spotykamy świetnie nam znane polskie ransomware Flotera, zawierające takie adresy kontaktowe w swoim komunikacie do ofiar:

Aby odzyskać pliki skontaktuj się z nami pod adresem: 3NIGMA@0.PL lub 3nigma@firemail.cc. Dwa pliki odszyfrujemy bez opłaty aby nie być gołosłownymi, za pozostałe będziecie Państwo musieli zapłacić 100$. Radzimy decydować się szybko, 92 godziny od zaszyfrowania opłata zostanie podniesiona do 200$.

Serwer C&C znajduje się pod adresem

To samo złośliwe oprogramowanie było niedawno rozsyłane w ataku udającym GIODO, a wcześniej w licznych kampaniach przypisywanych Thomasowi.