Uwaga na nowy atak – „Potwierdzenie wykonania przelewu” od mBanku

dodał 20 września 2017 o 09:45 w kategorii Złośniki  z tagami:
Uwaga na nowy atak – „Potwierdzenie wykonania przelewu” od mBanku

Wakacje się skończyły i nasi krajowi przestępcy wracają do swoich zajęć. Po kilku miesiącach przerwy w skrzynkach Polaków ponownie pojawiają się dobrze podrobione emaile ze złośliwym oprogramowaniem.

Czasem już pierwszy rzut oka na wiadomość sugeruje nam, kto mógł być jej autorem. Nie inaczej jest w przypadku dzisiejszego ataku – z tym internetowym przestępcą znamy się bardzo dobrze, bo jego kampanie śledzimy od paru lat. Oto najnowsza jego produkcja.

Potwierdzenie wykonania przelewu

Wiadomość wygląda następująco:

Witamy,

w załączniku przesyłamy potwierdzenie wykonania przelewu na rachunek 21102010550000910200170647 tytułem NR F/001132/16. Nadawcą przelewu jest xxxxx .

Pozdrawiamy,
Zespół mBanku

Mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać, ponieważ taka wiadomość nie dotrze do mBanku.
W przypadku pytań prosimy o wysłanie nowego maila na adres kontakt@mbank.pl

W miejscu „xxxxx” znajduje się nazwa odbiorcy wiadomości – w przypadku naszych Czytelników, którzy zgłosili atak, były to nazwy firm, dla których pracują, zatem faktycznie autor ataku się postarał i uprawdopodobnił treść swojej przynęty.

(Nie)przywoity załącznik

Do wiadomości załączony jest plik PDF, który przechodzi przez silniki antywirusowe i filtry poczty jak gorący nóż przez masło. Jego zawartość w kluczowym fragmencie wygląda tak:

a wizualnie prezentuje się tak:

W zależności od używanego czytnika PDF u osoby, która go otworzy, może:

  • nie wydarzyć się nic (najczęściej)
  • pojawić się prośba o pobranie i/lub uruchomienie zewnętrznego pliku.

Np. w czytniku Nitro wygląda ona tak:

W przypadku gdy program domyślnie pobiera zewnętrzne zasoby lub użytkownik mu na to pozwoli, na komputerze pojawi się plik

o następującej treści:

 Pod adresem

znajduje się ostateczny ładunek złośnika, czyli ransomware autorstwa Thomasa, opisywane przez nas kilka miesięcy temu. Ransomware to korzysta z adresów:

Plik binarny wrzucaliśmy jako pierwsi na VT, zatem jest nadzieja, że kampania dopiero ruszyła i zdążycie jeszcze ostrzec znajomych. Podajcie dalej.

Jeśli zaś chcecie nauczyć swoich pracowników jak wyglądają takie ataki i jak ich unikać, zaproście nas do siebie z wykładem, po którym sami będą wykrywać i zgłaszać podobne zagrożenia.

Security Awareness - szkolenie dla personelu

W bonusie kilka gotowców dla obrońców: