Uwaga na nową, sprytną kampanię przestępców używającą marki PayU

dodał 11 marca 2017 o 07:29 w kategorii Złośniki  z tagami:
Uwaga na nową, sprytną kampanię przestępców używającą marki PayU

Dostajemy liczne zgłoszenia od Czytelników do których trafiają bardzo ładnie przygotowane emaile od przestępców. Czytelnicy piszą, że prawie dali się złapać – co oznacza, że autorzy kampanii naprawdę się postarali.

Najwyraźniej na polskim rynku pojawił się nowy, lepszy autor złośliwych emaili. Od stycznia co miesiąc produkuje nowe, wiarygodne wysyłki, które rzadko przypominają rozsyłane wcześniej. Zaczynał od faktur Playa, potem zaskoczył rynek paragonami z Zary a od wczoraj bombarduje skrzynki potwierdzeniami płatności od PayU.

Dobrze przygotowany email

Wiadomość od przestępcy jest całkiem ładnie opracowana. Wygląda następująco:

Witaj,

zarejestrowaliśmy zlecenie płatności dla CINEMA CITY POLAND – CC SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOSCIA SPÓŁKA JAWNA (https://www.cinema-city.pl).
Możesz w dowolnym momencie sprawdzić status transakcji:

Sprawdź aktualny status

Twoją wpłatę przekażemy odbiorcy najpóźniej następnego dnia roboczego. Jeśli nie otrzymamy Twojej wpłaty, transakcja zostanie anulowana najpóźniej po 10 dniach.

Szczegóły operacji
Numer transakcji: C B9BC XX835695707XX (PL)
Kwota: 102,00 PLN
Dodatkowe opłaty obciążające klienta: 0,00 PLN
Data transakcji: 2017-03-10 21:12:30

W przypadku pytań o tę transakcję, powołaj się na jej numer.

To jest wiadomość automatyczna – nie odpowiadaj na nią.
Jeżeli potrzebujesz wsparcia, skorzystaj z pomocy dla Kupujących.

Pozdrawiamy
Zespół PayU
www.payu.pl

Z punktu widzenia odbiorcy jest prawie perfekcyjna. Adres nadawcy wygląda wiarygodnie. Temat niepokojąco. Formatowanie jest w zasadzie bez zarzutu (brakuje punktorów na liście szczegółów transakcji, bo się nie wczytują z zewnętrznego serwera, ale trudno to zauważyć). Link do „sprawdzenia statusu” prowadzi do strony PayU, na której można zobaczyć, że transakcja została opłacona.

Uwaga na marginesie – ogromna szkoda, że PayU nie zdecydowało się zastąpić tej strony komunikatem o możliwości infekcji, ponieważ w każdej wiadomości link jest taki sam i prowadzi do tej samej transakcji.

Wiarygodny i znany jest także podmiot, w którym mieliśmy rzekomo dokonać zakupów – większość z Was pewnie kojarzy Cinema City i wie, czy ostatnio kupowało bilety do kina. Data transakcji jest bardzo świeża. Wczoraj miały miejsce co najmniej dwie wysyłki. W przypadku porannej data wskazywała na 9 marca, godzinę 21:12, w przypadku wysyłki wieczornej data została zmieniona na 10 marca, 21:12. W wiadomości nie pasują tylko dwa detale – powitanie (suche „Witaj”) oraz załącznik, którego tam być nie powinno.

Złośliwy załącznik

W pierwszej wersji plik nazywał się

zaś w drugiej wysyłce nadawca trochę eksperymentował i udało mu się nawet zrobić literówkę, ponieważ plik nazwał

Oba skrypty są funkcjonalnie identyczne, choć zawierają różne elementy wypełniające. Są zaciemnione w bardzo prosty sposób. Zaczynają się losowych zbitek słów, np.

Polsce, raczy ?askawy czytelnik wybaczy? mniejszym uchybieniom w ?adnym punkcie nieoddala? si? z tych dar?w Bo?ych. Wi?c z?o b?dzie chcia? szafowa?. On tak jest; rum zamiast ie on. si? on Epikurejskiemu przeciwleg?y. Zeno m?wi?, ?e jest przeciwne prawid?om rozumu. Albo? sobie pomy?le? mo?na. Co? czy chcemy nawr?ci?, w samej rzeczy szcz?liwo?ci godnemi by? przyczytane. W przyczytaniu wypadk?w uwa?ajmy jako Istno?? wzelkich Istno?ciow pokazuje, kt?r? nieinaczej jak tylko b?d? pojedy?cze oznaczenia owych fundamentalnych poj?ci?w. Tu bowiem poi?cie o Dobru. Dobro mia?by w samej tylko prostej zap?aty Czyny za? ju? tak wielka godno?? kt?ra przez si?, i zostanie zawsze wewn?trzn? odmian? w.

(kodowanie popsuł autor, nie my)

Sam kod to dobrze znany nam z kampanii Playa i Zary vjw0rm, czyli koń trojański napisany w JavaScripcie. Zmienił się jednak adres serwera C&C – obecnie to

Poza tym funkcje nie wyglądają na zmodyfikowane. Wysyłka emaili oczywiście prowadzona jest z niezwykle pod tym względem niefrasobliwego hostingu Nazwa.pl.

Na podstawie otrzymanych próbek możemy powiedzieć, że adresatami wiadomości wydają się firmy. PayU informuje o ataku – choć błędnie twierdzi, że to phishing. Nie pozostaje zatem nam nic innego jak poprosić Was, byście ostrzegli znajomych przed uruchamianiem załącznika z tej wiadomości.

Dziękujemy wszystkim Czytelnikom, którzy podesłali nam swoje próbki.