Uwaga na nowy atak na kancelarie prawnicze – wezwanie do zapłaty

dodał 13 października 2015 o 11:28 w kategorii Główna, Złośniki  z tagami:
Uwaga na nowy atak na kancelarie prawnicze – wezwanie do zapłaty

Najwyraźniej zachęceni skutkami poprzednich kampanii przestępcy kontynuują swoje działania, wykorzystując wcześniej sprawdzone modele infekowania cudzych komputerów. Dzisiaj ich celem ponownie są kancelarie prawnicze.

Wstępna analiza najnowszego ataku wskazuje, że choć stylizowany jest na działanie fiat126pteam, to jego autorem jest Thomas a sam atak wykorzystuje bardzo podobne mechanizmy co niedawny atak na klientów firmy Orange.

Stara śpiewka

Fałszywa wiadomość

Fałszywa wiadomość

Treść wiadomości od przestępców:

Od: Pawłowski & Partners <[email protected]>
Data: 13 październik 2015 o 10:31
Temat: Ostateczne przedsądowe wezwanie do zapłaty wierzytelności 13/10/2015

Witaj
Na skutek niespłaconych przez Ciebie wierzytelności, nasz klient wynajął kancelarię prawną „Pawłowski & Partners” abyśmy zajęli się odzyskaniem wierzytelności na drodze prawnej.
Prosimy o niezwłoczne zapoznanie się z kopią: Ostatecznego Przedsądowego Wezwania do zapłaty z dnia 13/10/2015.
http://adwokatura-online.dokumenty.co.vu/wyswietl-zawiadomienie?=HVKp4pPL
Oryginał dokumentu na zlecenie naszego klienta został przesłany listownie przez naszą kancelarie pod Twój adres zameldowania w dniu nadania maila.

z Poważaniem
adw. Borys Pawłowski
+48 (78) 715 26 94
ul. Spyry Ludwika 3
43-196 Mikołów

Kliknięcie w link przenosi na stronę udającą rzekome mechanizmy ładowania plików Adobe

Fałszywa witryna

Fałszywa witryna

Strona proponuje automatyczne pobranie następującego pliku:

  • Ostateczne_Przedsadowe_Wezwanie_do_Zaplaty.scr
  • MD5: 6c6c970d3433ce8d3adba7266af657d2
  • VirusTotal
  • Hybrid Analysis
  • pierwsza obserwacja 2015-10-13 10:26
  • prawdopodobnie zawiera konia trojańskiego spakowanego w skrypty AutoIt
  • C&C mivrosof.mooo.com

Z uwagi na wykorzystanie tego samego motywu graficznego i mechanizmu infekcji oraz części identycznej infrastruktury oraz oprogramowania uważamy, że za atakiem najprawdopodobniej stoi znany nam od lat Thomas.

Dziękujemy osobom, które wykazały odpowiednią czujność i podesłały nam próbki. Jeśli chcecie, by taką samą czujnością wykazywali się Wasi pracownicy, możecie rzucić okiem na propozycję ciekawych szkoleń.