Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

dodał 10 stycznia 2018 o 09:51 w kategorii Socjo, Złośniki  z tagami:
Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

Do skrzynek polskich firm od paru godzin trafia nowa kampania złośliwego oprogramowania, które niesie ze sobą popularne ransomware Vortex. Autor kampanii użył pewnej rzadko spotykanej sztuczki – warto ostrzec użytkowników.

Kampania jest kolejna odsłoną ataków obserwowanych przez nas od lat i stoi za nią świetnie nam znany przestępca Thomas. Używa tej samej infrastruktury co zwykle i jako jedyny wysyła do swoich ofiar tę właśnie rodzinę ransomware.

Wezwanie do zawarcia ugody

Nadawca wiadomości podszywa się pod adwokata, a sama wiadomość tak:

Treść wiadomości:

Witam Serdecznie
Działając w imieniu mojego mocodawcy.
W załączeniu przesyłam przedsądowe wezwanie do zawarcia ugody.
Adwokat
Wojciech Wilgierz

Na zrzucie ekranu widzicie ikonę pliku PDF – jednak wiadomość nie ma żadnego załącznika. To dość sprytna sztuczka, gdzie w treści wiadomości wstawiono plik graficzny pokazujący ikonę, a z nim powiązano link do strony WWW, która serwuje dalszy ciąg ataku. Jeśli zatem ktoś kliknie w „plik PDF” to niespodziewanie otrzyma złośliwy plik JS.

Proces infekcji

Link z emaila ukryty pod obrazkiem prowadzi do witryny:

Tam użytkownik zostaje przekierowany do

Plik JS uruchamia Powershella, który z kolei pobiera plik

To ransomware Vortex – jego najważniejsze cechy:

Wiadomości z atakiem wysyłane są jak zawsze z serwerów Nazwa.pl:
Domeny zarejestrowane wczoraj przez Nazwa.pl:

Przekażcie użytkownikom, by nie dali się złapać na tę sztuczkę przestępcy.

Dziękujemy wszystkim Czytelnikom, którzy podesłali próbki.