31.12.2017 | 17:08

avatar

Adam Haertle

Uwaga na nową kampanię malware – elektroniczna faktura od Wizzair

Rok zmierza ku końcowi, a targety trzeba zrealizować. Najwyraźniej notorycznemu autorowi kampanii ransomware zabrakło kilkuset dolarów do udanej imprezy sylwestrowej i postanowił w ostatniej chwili je zarobić.

Do polskich skrzynek zaczęły w nocy trafiać wiadomości podszywające się pod Wizzair i zawierające złośliwe oprogramowanie. Co ciekawe, autor fajtłapa w pierwszej wersji pomylił się tworząc załącznik i złośliwy kod nie działał. Niestety wkrótce potem w świat ruszyła druga, działająca wersja. Jeśli ktoś da się złapać na ten atak, to jego pliki zostaną zaszyfrowane.

Faktura elektroniczna za rezerwację Wizz Air

Złośliwa wiadomość nie ma polskich znaków i wygląda następująco:

Szanowny Kliencie,
Dziekujemy za wybranie linii lotniczych Wizz Air.
Zalaczamy fakture elektroniczna za Twoja rezerwacje.
Ta faktura jest oryginalna faktura w formacie elektronicznym wystawiona przez firme Wizz Air Hungary Ltd. w momencie dokonania rezerwacji, zgodnie z odpowiednim obowiazujacym ustawodawstwem wegierskim.[…]

W załączniku w pierwszej wersji znajdował się plik

Wizzair 30-12-2017.docx

który po otwarciu wyglądał następująco:

Analiza osadzonego obiektu OLE (z ikoną udającą plik DOC) pokazuje, że autor kombinował z wykonaniem skryptu po dwukrotnym kliknięciu w obiekt – ale skrypt odwołuje się do pliku SVG, którego raczej nie ma na dysku ofiary, stąd po kliknięciu nic się nie dzieje. Ten wariant kampanii wkrótce został wyłączony i autor przełączył wysyłkę na wersję z załącznikiem o nazwie

wizzair 30-12-2017 doc.z

który tak naprawdę jest plikiem RAR, zawierającym skrypt wykonujący polecenia PowerShella, pobierające i uruchamiające plik:

http://forum-windows.eu/js/fullhd.exe

Plik ten to znany nam świetnie ransomware Flotera, szyfrujący pliki ofiary.

Kilka informacji technicznych

Emaile wysyłane są z serwera:

alz146.rev.netart.pl ([85.128.182.146)

Serwery / domeny używane przez przestępcę:

forum-windows.eu (193.70.72.160)
edynamic-dns.pl (216.144.236.34)

Co ciekawe obie domeny zostały zarejestrowane już 13 grudnia 2017, a szczegóły rejestracji jednej z nich sugerują, ze mogła być używana także we wcześniejszych atakach, podszywających się pod firmę Energa. Jeśli macie ich kopie – podzielcie się z nami.

Sumy kontrolne plików:

fullhd.exe 18b17154a5e6d331b44153e737e57f9bbac5b87018ff7d7ee831350567436d85
Wizzair 30-12-2017.docx 70f6d142d8279d01c51d54c80678f121d4d7d0689b5f2565a99b6211e00eaf98

Dziękujemy Czytelnikom nadsyłającym próbki i analitykom pomagającym w ich analizie.

Lokowanie produktu

Przed takimi (i wieloma innymi) atakami ostrzegamy na naszych szkoleniach podnoszących świadomość pracowników. Zamów nasze szkolenie, a obiecujemy, że pracownicy będą za nie wdzięczni.

Security Awareness - szkolenie dla personelu
Powrót

Komentarze

  • avatar
    2017.12.31 18:36 Franko

    Czy przed tego typu złośliwym oprogramowaniem chroni pracowanie na koncie pozbawionym praw administratora? Z jednej strony nie da się w ten sposób zaszyfrować plików systemowych, ale pliki użytkownika mogłyby być podatne.

    Odpowiedz
  • avatar
    2017.12.31 18:53 Cracked Brain

    Znowu żałosny wieśniak Thomas?

    Odpowiedz
    • avatar
      2017.12.31 19:23 Dytryk

      Hmmm. Może i wieśniak (?), ale od lat „niezniszczalny” :/

      Odpowiedz
  • avatar
    2018.01.01 02:26 Miki

    Noo dziś rano dostałem ta wiadomość. Na szczęście tak głupi nie jestem.

    Odpowiedz
  • avatar
    2018.01.01 21:01 bbb

    Kolejny raz nazwa.pl :)

    Odpowiedz
    • avatar
      2018.01.02 09:27 Jonasz

      Bo gdyby to był home, to nie byłoby sprawy, c’nie?

      Odpowiedz
  • avatar
    2018.01.02 08:57 K.

    Może to trochę głupie pytanie, ale jestem ciekawa – czy przed podobnym atakiem jest w stanie ochronić mnie Avast, który w wersji płatnej od jakiegoś czasu oferuje specjalny komponent anty-ransomware? Tak się zastanawiam od jakiegoś czasu, czy faktycznie istnieje jakaś skuteczna ochrona, czy jak już się kliknie podobny plik i uruchomi skrypt, to koniec.

    Odpowiedz
  • avatar
    2018.01.02 11:00 xxxx

    Dla czego tenczlowiek zostal nazwany Thomas ?

    Odpowiedz
  • avatar
    2018.01.02 11:25 Zaklopotana

    Witam, niestety ja też otrzymałam takiego maila. Ciekawość wzięła górę i kliknelam w zalacznik który pobrał mi się na telefon. Nie otwierał się, więc go usunęłam. Co w takiej sytuacji? Czy pobrałam wirusa? Co mam zrobić? Z góry dziękuję za pomoc :(

    Odpowiedz
    • avatar
      2018.01.03 21:04 paranoik

      Nie, ten atak (idąc za artykułem) odpala plik exe ściągnięty przez Powershella, a jedno i drugie możliwe jest na komputerowym windowsie.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nową kampanię malware – elektroniczna faktura od Wizzair

Komentarze