Uwaga na nową kampanię „Powiadomienie o planowanej wizycie kuriera”

dodał 12 grudnia 2017 o 10:06 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię „Powiadomienie o planowanej wizycie kuriera”

Idą święta, a internauci ruszają masowo na zakupy. Czasem ciężko doliczyć się wszystkich paczek w drodze, a spamiętać kurierów, którzy mają je przywieźć, jest niemożliwe. Na właśnie takie okazje czekają przestępcy.

Od wczoraj trwa nowa kampania przestępców – a konkretnie jednego przestępcy, którego od wielu lat obserwujemy i trochę utrudniamy mu życie. Podzielcie się tym linkiem ze znajomymi, by jeszcze mniej z nich zostało ofiarami tego ataku.

Powiadomienie o planowanej wizycie kuriera

(a także „Powiadomienie o nadejściu przesyłki” oraz „Wkrótce odwiedzi Cie kurier !”)

Jak do tej pory zauważyliśmy trzy szablony wiadomości – wszystkie są bardzo podobne. Jeden z nich wygląda tak:

Treść wiadomości to:

Wiadomość wygenerowana automatycznie. Prosimy nie odpowiadać bezpośrednio na ten adres e-mail.
Szanowni Państwo

Uprzejmie informujemy że w dniu 2017-12-09 nasz klient nadał do Państwa przesyłkę o numerze 31701068902 za pośrednictwem firmy Geis

31701068902

Prosimy oczekiwać na Kuriera.

W załączniku znajduje się szczegółowe potwierdzenie nadania paczki.

Hasłem potrzebnym do otwarcia potwierdzenia, jest numer Twojej przesyłki.

—————————————————–
POLKURIER – Tanie Przesyłki Kurierskie
Biuro Obsługi Klienta
+48 62 591 7272
www.POLKURIER.pl

W drugiej wersji zmienia się data nadania na 2017-12-11 oraz firma z Geis na DPD. Numer przesyłki (stanowiący zarazem hasło załącznika) pozostaje bez zmian. W trzecim (temat „Wkrótce odwiedzi Cie kurier !”) numer przesyłki to 8312362998, a kurier to UPS.

Czas zatem na analizę zagrożenia.

Załącznik

W załączniku znajduje się plik o jednej z poniższych nazw:

Wbrew różnym rozszerzeniom wszystkie pliki to archiwa RAR, a plik drugi i trzeci są identyczne. W archiwum znajduje się jeden z trzech plików:

Pierwsze dwa mają zawierają:

Co po zdekodowaniu w obu przypadkach daje

Trzeci plik (JS) wygląda tak:

i dekoduje się do

W pliku notepad.exe (not.exe jest identyczny) znajduje się ransomware Vortex/Flotera, szyfrujące dyski i żądające okupu. Adresy kontaktowe w tej wersji to

Serwer C&C ukryty jest pod domeną

To ciekawa kontynuacja wzoru z poprzedniej kampanii tego samego autora, gdzie użyte domeny także były klonami popularnych blogów lifestylowych.

Zasoby użyte w kampanii

Emaile są oczywiście wysyłane od ponad 24h z tego samego serwera w Nazwa.pl (a poszły ich tysiące, zapewne jak zwykle to nie do wykrycia…):

Z serwerem Nazwa.pl przestępca łączy się z adresu:

Domeny użyte w ataku (oczywiście zarejestrowane w Nazwa.pl) to:

Hasze plików:

Co można z tym zrobić

Przestępcę najwyraźniej trudno złapać, za to na tego rodzaju ataki bardziej odporni są uczestnicy naszych szkoleń dla pracowników. Na każdym z nich uczymy między innymi by uważać na spakowane załączniki z hasłem, a przed świętami ostrzegaliśmy wiele razy o spodziewanych wiadomościach „od kurierów”. Najlepszą rekomendacją niech będzie jednak wypowiedź jednego z pracowników działu HR po zakończonym szkoleniu:

Opinia klienta
Robimy takie szkolenia od dawna, ale pierwszy raz klaskali

Sprawdźcie, czy i u Was będą klaskać!

Security Awareness - szkolenie dla personelu
Dziękujemy kilkunastu Czytelniczkom i Czytelnikom, którzy podesłali nam próbki tej kampanii.