01.09.2015 | 18:38

Adam Haertle

Uwaga na nową falę ataków na internautów. Tym razem Roksa, pozwy i faktury

Dostajemy sygnały o trwającej właśnie nowej kampanii złośliwego oprogramowania. Rozpoznaliśmy do tej pory trzy wersje wiadomości ze złośliwym załącznikiem – wszystkie wydają się pochodzić od jednego nadawcy, choć grupy docelowe są różne.

Przestępcy nie śpią (trzymają bitcoiny) i nie próżnują. Codziennie dostajemy od Was kilkanaście wiadomości budzących Wasze (najczęściej słuszne) wątpliwości. Choć większość podsyłanych prób ataku jest dość znana i dobrze opisana, to czasem trafia się coś nowego – tak jest i tym razem.

Wariant 1, czyli ktoś się podszywa na Roksie

Roksa.pl to dość podobno popularny serwis zawierający oferty usług pań do towarzystwa. Próbki wiadomości, które do nas dotarły, adresowane były do kobiet.

Temat: ktos sie podszywa na roksie pod Ciebie‏

Treść:

Kochana, jakas kurwa sie pod Ciebie podszywa, wysyla takie zdjecie i nr tel, masz w zalaczniku, haslo wizytowka

Załącznik: plik wizytowka.pdf.rar, w nim wizytowka.pdf.scr.

Zrzut ekranu wiadomości

Zrzut ekranu wiadomości

Wariant 2, czyli zgłaszam to do prokuratury

Próbki, które do nas trafiły, adresowane były do kancelarii prawnych.

Temat: akt oskarzenia, wezwanie

Treść:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: pozew

Termin rozprawy otrzymacie poczta.

Pozdrawiam


Adam Galecki
Kancelaria Radcow Prawnych
Korwina 11
00-050 Warszawa

Inna wersja:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: wezwanie

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Kamila Jarocka
Kancelaria JAROCKA
Moszynska 8
00-950 Warszawa

Trzecia wersja:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia przeciwko firmie, haslo: reklamacja

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Adam Glowacki
Kancelaria Radcoy Prawnego
00-050 Warszawa

Czwarta wersja:

W zwiazku z brakiem kontaktu ze strony kancelarii przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: wezwanie1

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Dominik Kusnierz
Kusnierz Kancelaria Prawna
Wojskowa 56
00-901 Warszawa

Możliwe załączniki:

  • sygn_akt_IIIK_3_8.pdf.rar, w nim sygn_akt_IIIK_3_8.pdf.scr
  • Sygn.akt IIK_4R_14.pdf.rar, w nim Sygn.akt IIK_4R_14.pdf.scr
  • sygnatura_akt_VK_11_3.pdf.rar, w nim sygnatura_akt_VK_11_3.pdf.scr
  • sygn_akt_IL_3_9.pdf.pdf.rar, w nim sygn_akt_IL_3_9.pdf.scr

Wariant 3, czyli korygujemy faktury

Tym razem występuje wątek finansowy. Przykładowa wiadomość poniżej.

Temat: korekta faktury z 25

Treść:

Prosze jesli mozna dzis do 18 uregulowac, haslo: zasierpien – pisane razem.

Pozdrawiam

Zygmunt Kotarski
Domo Masters
Sp. z o. o.

Ul. Kuterska 58
00-091 Warszawa

Możliwe załączniki to:

  • faktura_korygujaca_17.pdf.rar, w nim faktura_korygujaca_17.pdf.scr
  • Faktura_26_07_2015.pdf.rar, w nim Faktura_26_07_2015.pdf.scr

Informacja o plikach

Załączniki o różnych samych nazwach są w istocie identycznymi plikami, zmieniającymi się co kilka dni. Te, na które trafiliśmy do tej pory to:

Próbka 1:

  • pierwszy ślad z 25 sierpnia
  • MD5: a3df7835cb8aba275d257264a5b019a8
  • SHA1: 6e0c2460c2f4a82e0189379f963b8963782241f1
  • C&C: 213.152.162.94, port 3835 oraz 213.152.161.15, port 3835
  • analiza pliku oraz sam plik do pobrania

Próbka 2:

Próbka 3:

  • pierwszy ślad z 31 sierpnia
  • MD5: 41b64a86514931d607775a23bfd2b692
  • SHA1: cd0b4b8684e355eacafeb18c14af5427a347f989
  • C&C: 213.152.162.94, port 3835 oraz 213.152.161.15, port 3835
  • analiza pliku oraz sam plik do pobrania

Próbka 4:

  • pierwszy ślad z 1 września
  • MD5: 268579c37d7e0a286bb04f7d7a4bc190
  • SHA1: f713d8636869b06856886829ad32fd4652b629f6
  • C&C: 213.152.161.170, port TCP 3838
  • analiza pliku oraz sam plik do pobrania

Próbka 5:

  • pierwszy ślad 7 września
  • MD5: f33bde6e7d1a901b3287bf0fa5e33896
  • SHA1: e248d685adca18033f198865fe3057a80a7f3594
  • C&C: nie udało się na razie ustalić
  • analiza pliku oraz sam plik do pobrania (plik znacząco różni się od wcześniejszych)

Jak na razie nie znamy pełnej funkcjonalności złośliwego pliku (prawdopodobnie pierwsze 4 egzemplarze są funkcjonalnie identyczne), jednak możemy powiedzieć, że:

  • analizuje środowisko, w którym się uruchamia,
  • instaluje się jako system.pif w folderze autostartu menu start,
  • dopisuje do autostartu w rejestrze,
  • zapisuje naciskane klawisze do c:\Users\<username>\AppData\Roaming\Logs\dzien-miesiąc-rok,
  • wykrada hasła zapisane w przeglądarkach i klientach poczty.

Wstępna analiza pokazuje także na związki ze złośliwym programem opisywanym w maju tego roku na blogu firmy Prevenity – wtedy rozsyłany był pod nazwą „pdf informacja o działki.exe„. Widzimy również analogię do kampanii z czerwca 2015, kiedy to rozsyłane były pliki:

  • F-VAT_czerwiec.pdf.scr,
  • windykacja_kruk_sa.pdf.scr.

Kto za tym stoi

Szukając innych próbek w tej samej kampanii trafiliśmy na ciekawy wątek powiązany z adresami IP serwerów C&C. Adresy te należą do usługi AirVPN, posiadającej również funkcję dynamicznego DNSa (można postawić serwer w domenie airdns.org, ukryty za VPNem). To dość naciągana próba, lecz jedynym ciekawym miejscem, w którym te 3 adresy występują wspólnie, jest log kanału IRC #bitcoin na serwerze sieci Freenode, gdzie dwóch użytkowników ukrywających się pod pseudonimami momo oraz MaxSan korzystało z akurat tych adresów tuż przed rozpoczęciem opisywanej powyżej kampanii:

Może to być po prostu zbieg okoliczności. W trakcie trwania kampanii adresy te nie były używane przez osoby wchodzące na ten kanał.

Samo złośliwe oprogramowanie użyte w ataku może być powiązane z kilkoma znanymi polskimi produkcjami, ale to już wątek na inną historię.

Dziękujemy Damianowi, Maćkowi, Oldze i Marcinowi za podesłane próbki oraz Łukaszowi i Mariuszowi za pomoc w analizie problemu.

Powrót

Komentarze

  • 2015.09.01 19:23 novem

    Zapewnie ten program rozsyła spam bo można znaleźć w listingu POP3(protokół poczty) i znaki np. [Caps Lock] możliwe że też keylogger

    Odpowiedz
    • 2015.09.01 22:02 Adam

      Jest keylogger, natomiast fragmenty z POP3 itp służą wyciąganiu haseł z klientów poczty.

      Odpowiedz
    • 2015.09.22 21:20 jtr

      Przez pop3 nie rozsyła się spamu ;)

      Odpowiedz
  • 2015.09.01 20:41 Anonim

    Choć może zabrzmi to absurdalnie, ale pseudonimy „momo” i „MaxSan” mogą sugerować że twórcami ataku są fani anime (japońskie animacje), bowiem w jednej serii, jedna postać miała imię Momo, zaś -san to sufiks, dodawany do imień w języku japońskim. Choć bardzo możliwe że jestem przewrażliwiony.

    Odpowiedz
    • 2015.09.01 23:16 ss

      Rownie ciekawy jest dobor nazw ulic.

      Odpowiedz
  • 2015.09.01 21:13 Anonim

    Profesjonalny opis.

    Odpowiedz
  • 2015.09.01 21:59 Marcin

    Ewidentnie ktoś się bawi i probuje zebrać jak najwiecej ciekawego info, może poinstalować trojany bankowe, ponieważ malware był wykrywany m.in. na komputerach urzędów gmin, które jak wiadomo obracają sporą gotówka a przelewy nierzadko własnoręcznie robi pani Halinka z księgowości.

    Odpowiedz
  • 2015.09.01 23:54 Tomek

    Muszę przyznać, że w tym przypadku cyberprzestępcy wybrali target idealny. Kto ma dużo kasy na koncie, a jednoczesnie nie grzeszy inteligencją (a już tym bardziej znajomością komputerowych zabezpieczeń)? Panienki do towarzystwa! Aż mi się ciśnie na klawiaturę jakiś żart związany z podejściem do zagrożeń wirusami, ale chyba sobie daruję :)

    Odpowiedz
  • 2015.09.02 07:48 Stefan telefan

    Dajcie numer do Olgi ;)

    Odpowiedz
  • 2015.09.02 11:16 namo

    Powiedzcie mi czy możliwe że mam to coś u siebie na kompie? Po uruchomieniu systemu, po mniej więcej 1 min. słychać że uruchamia się napęd DVD i otwiera mi się na pulpicie folder WinSys32 z dysku C.
    Jeśli tak, to jak to usunąć? Mam antyvirusa G-Data który nic nie wykyrwa.

    Odpowiedz
    • 2015.09.02 13:58 dzikus

      OMG :) idź do niebezpiecznika, oni powiedzą ci „co robić, jak żyć” itd. Dobrze że „momo” się nie podpisałeś :).

      Odpowiedz
  • 2015.09.02 13:35 Marek

    „Roksa.pl to dość podobno popularny serwis zawierający oferty usług pań do towarzystwa.”

    Brzydko wygląda to zdanie. Winno być:
    „Roksa.pl to dość – podobno – popularny serwis zawierający oferty usług pań do towarzystwa.”
    lub
    „Roksa.pl to podobno dość popularny serwis zawierający oferty usług pań do towarzystwa.”

    Z tym, że pierwsza możliwość byłaby również niepoprawna bo „podobno” nie tworzy zdania wtrąconego.

    Odpowiedz
    • 2015.09.02 16:04 b

      Nie znam się na polskim, ale chyba nie mamy ustalonej składni.

      Odpowiedz
      • 2015.09.03 11:19 Przemko

        Mamy ustaloną składnię, kolejność części zdania wpływa na sens zdania.

        Odpowiedz
  • 2015.09.02 17:54 miao

    Jeżeli łaczy się do airvpn to na 100% RAT. Dołączając scr i rar = pełna amatorka.

    Odpowiedz
  • 2015.09.02 18:10 Robert

    Witam.
    Własnie dzis dostalem wiadomość ze bede miał sprawę od kancelarii
    Kamila Jarocka
    Kancelaria JAROCKA
    Moszynska 8
    00-950 Warszawa
    wystraszyłem się i pobrałem załącznik, nie dał sie otworzyć.
    Czy w tym przypadku ten wirus sie zainstalował?
    Szukałem ale nigdzie nie ma tego pliku system.pif.
    Jak to cholerstwo namierzyć i odinstalować?
    Dzieki z góry za pomoc

    Odpowiedz
    • 2015.09.03 00:41 zordon

      Spal dom. Po Jarockiej, wchodzi Grodzka.

      Odpowiedz
  • 2015.09.03 00:21 fiat126p

    lame as shit.
    *rat + port forward (sht rat, netwire/lumosity)
    *kids (grammar)
    *manual send
    regards

    Odpowiedz
    • 2015.09.03 11:43 kot

      No i .pdf.scr

      Chociaż na panią Jadzię z sekretariatu może zadziałać.

      Odpowiedz
  • 2015.09.04 07:20 Jakub

    Czy amatorka to jedno że ludzie się nabiorą to co innego :P

    Analizuje środowisko, czyli że pingwin też podatny?

    Odpowiedz
  • 2015.09.04 22:00 Tomaszek

    No i przestaliście być „Zaufaną” i „Niezależną”, a w dodatku poddajecie się naciskom cenzury w związku z ciągiem dalszym powuższego tematu.
    Szkoda.
    To już drugi raz.

    Odpowiedz
  • 2015.09.05 09:30 Rafal

    Kto chce przeczytać ten i tak znajdzie.
    3 sekundy i chociażby wykop

    Odpowiedz
  • 2015.09.05 15:19 :)

    cały czas czekam, az w z3s obudzi się dziennikarski pazur i jednak będą informować dalej co w sprawie … ( wrzucając screen z emaila, tajemnica korespondencji – troche przesadzili w związku z kk ale Panowie nie pękać ) przeszukując google i zadając odpowiednie pytania można dotrzeć do wszystkiego , włącznie z oświadczeniami „fiat126pteam” … wpisując koniecznie użyjcie cudzysłowia :), sąd najwyższy przyznał, iż co trafi do internetu , to już tam pozostaje, ale naprawde ciekawe jest kto i na jakiej podstawie podsuwa , usuwa wpisy na portalach w wielu miejscach … z wolnością prasy jest jak z ochroną danych osobowych … bez złudzeń jest to praca syzyfowa choć próbować trzeba …

    Odpowiedz
  • 2015.09.05 16:44 :)

    Fajny sposób komunikacji, ponieważ moliwe jest iż jedynym czytelnikiem komentarzy jestes ty :) No coż, może usunięcie artykułu związane jest z faktem że niekoniecznie wierzysz w taki sposób przedstawiania sprawy jak w treści nagłówka swojego artykułu, W każdym razie pozdrawiam serdecznie,

    Odpowiedz
  • 2015.09.11 12:50 Aga

    Witam. Mój mąż otrzymał 30.08.2015r. maila o następującej treści

    W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt
    oskarzenia przeciwko firmie, haslo: zazalenie

    Termin rozprawy otrzymacie Panstwo poczta.

    Pozdrawiam

    Krzysztof Korwinski
    Kancelaria Radcow Prawnych
    ul. Reduty 8/1

    W załączeniu jakiś plik o nazwie sygn. akt – oczywiście nie otwieralismy

    Odpowiedz
  • 2015.09.24 12:32 Viper

    Witam, fajnie że pracownicy u mnie w firmie nie potrafią obsłużyć 7zipa bo już by pootwierali. A tak zgłosili się do mnie „Bo załącznik nie działa”…

    „Nadawca: Piotr Dubois
    Adresat:

    W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia
    przeciwko firmie, haslo: rozprawa2015

    Termin rozprawy otrzymaja Panstwo poczta.

    Pozdrawiam”

    Plik: sygn_akt_IIK_S_8.pdf.7z

    Odpowiedz

Zostaw odpowiedź do Viper

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nową falę ataków na internautów. Tym razem Roksa, pozwy i faktury

Komentarze