28.09.2015 | 15:00

Adam Haertle

Uwaga na nową falę ataków – celem sprzedawcy Allegro

Od kilku godzin otrzymujemy zgłoszenia nowej fali ataków charakterystycznych dla fiat126pteam. Charakteryzuje je nowa, zmodyfikowana warstwa graficzna oraz inna grupa docelowa – są nią sprzedawcy z Allegro.

Po poprzednio opisywanej przez nas fali ataków przez ostatnie kilka dni nie widać było żadnych nowych wysyłek of fiat126pteam. Dopiero dzisiaj pojawiła się kolejna kampania i wygląda na to, że autorzy pracowali nad nową grafiką.

Tradycyjnie solidne przygotowanie

Treść komunikacji jest cechą charakterystyczną fiat126pteam – wiarygodnie brzmiące i dostosowane do charakteru odbiorców wiadomości mogą zwieść czytających. W aktualnej kampanii wiadomość ma tytuł „Pomyłka w otrzymanym zamówieniu” a treść wygląda następująco:

Dzień dobry,

Około tygodnia temu zamówiłem u Państwa w sklepie za pośrednictwem allegro kilka przedmiotów użytku domowego. Zamówienie składałem mailowo ponieważ nie posiadam konta na Allegro.

Zapewniono mnie o dostępie do towaru oraz szybkiej wysyłce po wpłacie środków, co uczyniłem przesyłając pieniądze na konto w ING.

Paczka dotarła dotarła w dniu dzisiejszym, po dośc dłguim opóźnieniu. Problemem jest, iż nie dość że zamówienie było znacząco opóźnione to otrzymałem towar za który niestety, ale nie zapłaciłem …

Wysłali do mnie Państwo przedmiot z zupełnie innej aukcji, mianowicie;

[link do aukcji allegro]

Zastanawia mnie czy ktoś przypadkiem nie odberał mojego zamówienia…

Interesują mnie na tym etapie dwa możliwe rozwiązania sytuacji.
1. Zwrot środków w całości na mój rachunek z którego otrzymali Państwo przelew na swoje konto ing
2. Wysyłka w zamówionego towaru w ciągu 24h …

Oczywiście przedmiot, który otrzymałem przez pomylkę odeslę na podany adres.
Dla przypomnienia jeszcze raz załączam potwierdzenie przelewu na konto w ING, szczególy mojego zamówienia a także zdjęcie tego co otrzymałem:

http://docs.kraket.eu/?file=szczegoly_zamowienia_allegro_andrzej_jarzebski.doc

Proszę o odpowiedź jeszcze w dniu dzisiejszym, w innym wypadku będę zmuszony zgłosić sprawę do serwisu allegro.pl, mam jednak nadzieję na polubowne rozwiązanie sprawy

Z poważaniem,
Andrzej Jastrzębski

Drugi, lekko zmodyfikowany wariant tej same wiadomości:

Dzień dobry,

Blisko ponad tydzień temu zamówiłem u Państwa za pośrednictwem serwisu allegro parę przedmiotów użytku domowego. Zamówienie składałem mailowo gdyż nie posiadam konta na serwisie allegro. Zapewniono mnie o dostępności poszukiwanego towaru oraz natychmiastowej wysyłce po wpłacie środków, co też uczyniłem przelewając pieniądze na konto w mBank.

Dla przypomnienia jeszcze raz załączam potwierdzenie wykonanego przelewu na Państwa konto w mbanku, szczególy mojego zamówienia oraz zdjęcie tego co otrzymałem na dowód pomyłki w wysyłce. Mam nadzieję, że to wyjaśni sprawę.

http://docs.rakone.eu/?file=szczegoly_zamowienia_allegro_janusz_romanowski.doc

Wysłali do mnie Państwo towar z zupełnie innej aukcji, mianowicie;

[link do aukcji]

Zastanawia mnie teraz czy ktoś zatem odberał moje zamówienie.

Interesują mnie na tym etapie dwa możliwe rozwiązania sytuacji.

1. Zwrot środków w całości na mój rachunek bankowy z którego otrzymali Państwo przelew na swoje konto w mBank
2. Wysyłka w całości zamówionego towaru w ciągu 24h …

Proszę o ustosunkowanie się do mojej prośby jeszcze w dniu dzisiejszym. Plik zawiera wszystko co od Państwa dostałem oraz szczegóły zamówienia.

Z poważaniem,
Janusz Romanowski

Co ważne, link do aukcji faktycznie prowadzi do aukcji odbiorcy wiadomości a nazwa banku wymieniowego w treści emaila także odpowiada bankowi obsługującemu rachunek odbiorcy.

Nowa szata graficzna

Atak ma wszystkie cechy poprzednich edycji, oprócz jednej, dość istotnej z punktu widzenia przeciętnego użytkownika. Warstwa graficzna wygląda inaczej niż w poprzednich 4 przypadkach:

fiat126pteam - nowa grafika

fiat126pteam – nowa grafika

Wybranie opcji „Napraw teraz” powoduje pobranie pliku

http://autoupdate.msccenter.com/download/MsWebPlugin.exe

Z kolei pod adresem kraket.eu (lub rakone.eu) widnieje bardzo uproszczona witryna, nie wskazująca na żadną firmę (co pasuje do prywatnego charakteru wysyłanej wiadomości):

Domena kraket.eu

Domena kraket.eu

Ciekawe jest to, że tym razem domeny zarejestrowano realtywnie wcześnie – rakone.eu i kraket.eu 17 września, a mscenter.com 23go września. Z kolei złośliwy plik wygląda – przynajmniej na pierwszy rzut oka – na bardzo podobny do dotychczas używanych:

Atak nosi wszystkie istotne cechy dotychczasowych popisów fiat126pteam: wiarygodność wiadomości, mechanizm dostarczenia złośliwego pliku, sposób rejestracji domen, sposób wysyłki poczty, nagłówki wiadomości – albo ktoś wykupił franczyzę, albo jest to nowy występ tych samych autorów.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside

Dziękujemy osobom, które nadesłały informacje o atakach.

Powrót

Komentarze

  • 2015.09.28 15:08 Hary TwardaPala

    Uff, juz zaczalem sie martwic ze fiat126pteam odposcil ;)

    Odpowiedz
  • 2015.09.28 15:18 lukasz

    co sie dzieje jak klikne napraw to i juz plik sie sciągnie ? ?????
    jaki jest skutek????

    Odpowiedz
    • 2015.09.29 08:14 Marek

      Zlosliwe oprogramowanie nie pozwoli Ci w komunikacji internetowej konczyc zdania wieloktrotnym znakiem zapytania.

      Odpowiedz
  • 2015.09.28 15:40 Krzysztof

    dostalem bardzo podobna wiadomosc. Doskonale spersonalizowana. Aż bylem zdziwiony, że nie moge odnaleźć takiego Klienta ;)

    Odpowiedz
  • 2015.09.28 15:41 q

    Nie posiadam konta w serwisie aukcyjnym, ale gdy nie otrzymam odpowiedzi, to zgłoszę się do nich? To nie ma sensu, poza tym potwierdzenia przelewów są chyba generowane jako PDF, a nie DOC, który można w protszy sposób edytować?

    Odpowiedz
  • 2015.09.28 15:54 Hubert

    Pierwszy raz w życiu nabrałem się na tego typu wiadomość. Co powinienem zrobić jeśli kliknąłem w podany link ?
    Z góry dziękuję za odpowiedź.

    Pozdrawiam,

    Odpowiedz
    • 2015.09.28 17:16 enedil

      Mam wrażenie, że nic – musisz uruchomić pobrany plik .exe.

      Odpowiedz
    • 2015.09.28 18:15 s

      Odłączyć komputer od sieci, a potem wezwać jakiegoś speca albo najpewniej – przeinstalować system.

      Odpowiedz
  • 2015.09.28 16:01 hektor

    a jakie zagrożenie jest przy próbie zainstalowania pobranego z linku wirusa przy zastrzeżeniu, że kasperski działa na bieżąco?

    Odpowiedz
    • 2015.09.29 14:20 xvcb

      kasperskjego to juz taviso ostatnio opisal ;)

      Odpowiedz
  • 2015.09.28 16:02 Ania

    A co zrobić kochani jak już ktoś to dostał ?? i za wszelką cenę próbował zapisać i uruchomić cudowną wtyczkę… skanowanie nic nie wykryło, a boję się że gdzieś mi to siedzi i tyko czeka na moje logowanie i płatności…:( pomoże ktoś…?

    Odpowiedz
    • 2015.09.28 17:11 CaptainObvious

      Pobierz hitman pro wersje próbną (http://www.surfright.nl/en/products/)
      Możesz też spróbować z malwarebytes. (malwarebytes.org)
      Z ciekawości – jakiego antywirusa używasz, że ci nic nie wykrył? :)

      Odpowiedz
  • 2015.09.28 16:17 hektor

    proszę o odpowiedź, czy po ściągnięciu i probie instalacji należy się przejmować, jeśli kasperski to wykrył

    Odpowiedz
    • 2015.09.28 18:07 Imię

      i tu pojawia się dwugłos :)
      Ponieważ nie będąc wstanie zidentyfikować zagrożenia (może to droper który już zdąrzył pobrać 5 trojanów i 8 rootkitów) muszę ci powiedzieć kup sobie Anty Wirusa (zaktualizowanego) a jako 83379 sądzę że AV są złe i co teraz zrobić —
      Zastrzel się, idź do nieba ;D

      Odpowiedz
      • 2015.09.28 18:17 Imię

        a wiem !! Kup sobie FireEye ;D
        że też nie pomyślałem o tym wcześniej

        Odpowiedz
    • 2015.10.01 15:21 as

      to zalezy czy atakujący tak zmodyfikował swój malware zeby wykorzystac podatnosc RCE w kasperskim, ktora pojawia sie przy skanowaniu (w zasadzie przy odpaleniu owego wirusa w piaskownicy AV celem analizy behawioralnej)

      Odpowiedz
  • 2015.09.28 17:00 Majtki

    Po komentarzach widać że trochę ludzi się nabiera, a ciekawe ile osób to zainstalowało i nie ma zupełnie żadnej świadomości tego ataku.

    Odpowiedz
  • 2015.09.28 17:02 Majtki

    jeszcze dodam że śmieją się wszyscy z Avasta a jako jeden z niewielu wykrywa zagrożenie a taki np. BitDefender nie wykrywa zupełnie zagrożenia.

    Odpowiedz
    • 2015.09.28 17:12 CaptainObvious

      Nie sądze że bd nie wykrywa zagrożenia. Nie jestem jego wielkim fanem, ale nie chce mi sie w to wierzyć. Masz na to jakiekolwiek dowody?

      Odpowiedz
      • 2015.09.28 17:19 Majtki

        zobacz analize na virus total – masz linka w tekście. Virus total jest dość wiarygodne.

        Odpowiedz
  • 2015.09.28 17:06 kalaruch

    (..)andrzej_jarzebski.doc
    Z poważaniem,
    Andrzej Jastrzębski

    Czyli jest ich co najmniej dwóch. ;p

    Odpowiedz
  • 2015.09.28 18:13 NN

    ClamAV do customsig.ndb

    :4:*:687474703a2f2f646f632e6f6e6c696e657669657765722e65752f3f666e616d653d
    :4:*:687474703a2f2f646f63732e6d706172746e6572732e65752f3f666e616d653d
    :4:*:687474703a2f2f646f63732e6b72616b65742e65752f3f66696c653d
    :4:*:687474703a2f2f646f63732e72616b6f6e652e65752f3f66696c653d

    Powyższe zablokuje również maile geniuszy w rodzaju „weź mi to sprawdź/pobierz/otwórz bo u mnie nie działa”.

    Do spamassassina reguła rodzaju:
    /\/(doc|docs)\.(kraket|mpartners|onlineviewer|rakone|techraf)\.eu\//i

    Odpowiedz
  • 2015.09.28 22:11 maslan

    Mógłby ktoś już namierzyć tych lamusów i spuścić im wp*** bo już mnie nudzą te ich maile…

    Odpowiedz
  • 2015.09.28 22:52 Grażyna

    Cześć żołnierzyku systemu
    Wydaje Ci się zapewne, że odwalasz kawał dobrej roboty. W rzeczywistości płacisz danine na cele podtrzymania niewolnictwa. Wydaje Ci się, że gdzie trafią środki, których tak zaciekle bronisz ? Po bezsensownej podróży przez rozwydrzone kieszenie wiecznych konsumentów zostaną zmarnowane na kolejną zabawkę twoich panów w mercedesach z reflektorami wysadzanymi krysztalami swarovskiego.

    Odpowiedz
    • 2015.09.29 09:13 wiki

      Grażyno to Ty? Uderzaj na wiejską ;-)

      Odpowiedz
  • 2015.09.28 23:47 s

    Trochę mnie szokuje ilość komentarzy na Z3S pisanych przez osoby, które dały się nabrać.

    Uważam też, że Allegro powinno zareagować i wysłać do wszystkich swoich zarejestrowanych użytkowników zwięzłego maila ostrzegającego – podobnie jak banki ostrzegają przed phishingiem. Tymczasem Allegro milczy, nawet nie ma komunikatu na ich stronie. A może Allegro nic nie wie o tej akcji?

    Odpowiedz
    • 2015.09.29 21:06 yzq

      Może i powinni. Chociaż zbyt częste wysyłanie takich ostrzeżeń do tak wielkiej ilości klientów, jaką ma allegro, powoduje czasem – paradoksalnie – znieczulenie tychże. Skutkiem jest też zapewne lawinowy wzrost zgłoszeń do supportu od najbardziej niekumatych klientów. Albo oszuści zaczynają podszywać się pod ostrzeżenia… Ech, infosec to podła dziedzina:)

      Odpowiedz
  • 2015.09.29 00:09 molo

    Grazyna to nie tłumaczy kradzieży mimo wszystko

    Odpowiedz
  • 2015.09.29 07:45 Marcin205

    A z błędem ortograficznym to widać że fakei zakombinowany mail

    Odpowiedz
  • 2015.09.29 08:36 byle_nie_ja

    „Około tygodnia temu zamówiłem u Państwa w sklepie za pośrednictwem allegro kilka przedmiotów użytku domowego. Zamówienie składałem mailowo ponieważ nie posiadam konta na Allegro.”

    Mało przekonujące :D

    Odpowiedz
  • 2015.09.29 09:10 misiou

    gównojadekteam w akcji. :)

    Odpowiedz
  • 2015.09.29 09:38 piotrek

    Raczje Franczyze anizeli Franszyze …

    Odpowiedz
  • 2015.09.29 17:12 asda

    Ciekaw jestem co z ludźmi którzy na komputerze nie mają nic od M$’a, czy są strony pod nich przygotowane xD

    i msccenter nie mscenter

    Odpowiedz
  • 2015.09.29 17:48 disno

    nic nie instalowałem, nie pobierałem żadnego pliku, jednak kliknąłem na ikonkę napraw teraz – czy to wystarczy aby uruchomić wirusa? Zrobiłem to odruchowo, zanim zdążyłam pomyśleć i niestety teraz mam stracha. Proszę o pomoc.

    Odpowiedz
    • 2015.10.25 02:22 JamCiNowy

      wystarczy. przecież nie pojawi sie powiadomienie, ze aktualizacja wirusa wypadła pomyślnie

      Odpowiedz
  • 2015.09.29 18:45 gosia

    Przyłączam się do pytania disno. Zrobiłam to samo, jednak nie pozwoliłam dokończyć tej aktualizacji wtyczki, przerwalam to pobieranie czy uaktualnianie

    Odpowiedz

Zostaw odpowiedź do enedil

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nową falę ataków – celem sprzedawcy Allegro

Komentarze