Chyba najbardziej płodny autor emaili ze złośliwymi załącznikami w ostatnich 4 miesiącach rozpoczął dzisiaj kolejna wysyłkę. Załącznik pozostaje w większej mierze bez zmian, lecz treść kampanii jest nowa i podszywa się pod Netię.
Otrzymaliśmy już od Was kilkanaście zgłoszeń, zatem możemy sądzić, że liczba wysłanych emaili nie jest mała. Z innych źródeł wiemy, że w kampanii TPay tego samego autora wysłane było co najmniej kilkadziesiąt tysięcy wiadomości.
Email jak prawdziwy, faktura niekoniecznie
Wiadomość rozsyłana tym razem przez atakującego wygląda następująco:
|
||||||||||||||||||
|
Wiadomość została oczywiście wysłana z serwerów Nazwa.pl (jeśli czyta nas jakiś pracownik tej hostowni któremu zostały resztki przyzwoitości to zapraszamy do kontaktu) i podszywa się pod prawdziwy adres nadawcy. Treść wiadomości została skopiowana z faktury prawdziwego klienta Netii (numer rachunku należy do puli przynależnej Netii).
Co ciekawe, wiadomość jest spersonalizowana. Nazwa odbiorcy zarówno w polu „Do” jak i w nagłówku „Dane klienta” jest inna dla każdego klienta i skojarzona z jego adresem email. Dane odbiorców zostały pobrane z bazy firm. Co również ciekawe, nic nie wskazuje na to, by dane odbiorców pochodziły z niedawnego wycieku z Netii.
A w załączniku…
Sam załącznik to dobrze nam znany vjw0rm z serwerem C&C pod adresem
http://aktualizacje.ns22.ru:1411
Tym razem do jego kodu autor dołączył cytat z utworu rapera Ramona 23, tradycyjnie już dla wszystkich kampanii wpisując się w klimat polskiej sceny rapowej.
Dobranie się do „faktury” to nie lada wyczyn. Najpierw trzeba rozpakować plik
Netia - Faktura Online z dnia 03-20-2017.DOC.zip
by znaleźć w nim folder
Netia - Faktura Online z dnia 03-20-2017.DOC.zip
a w nim pliki
Hasło do Faktury Netia.txt Netia - Faktura Online z dnia 03-20-2017.DOC.rar
W pliku TXT należy znaleźć hasło do rozpakowania pliku RAR:
Aby otworzyć fakturę podaj hasło : CueNI8#86dk
W pliku RAR znajduje się katalog
Netia - Faktura Online z dnia 03-20-2017.DOC
a dopiero w nim upragniona „faktura”
Netia - Faktura Online z dnia 03-20-2017 _DOC.js
Thomas, jak tam klikalność w takim wariancie? Przekracza 0,1%?
Ciekawy ślad
W kodzie rozsyłanej wiadomości można znaleźć następujący fragment
<TD width=650><IMG border=0 hspace=0 alt="" align=right = src="C:\Users\ZWW\Desktop\vCruelty Crypter v0.1 [JS] By v_B01\Bulk = Mailer 8.4\Bulk Mailer 8.4\logo.png"></TD>
To najwyraźniej błąd nadawcy, któremu do treści wiadomości nie dokleił się prawidłowo lokalny plik graficzny. To nie jedyny błąd – w wiadomości brakuje także polskich znaków.
To już dziesiąta zanotowana przez nas kampania tego samego autora, oparta o te same narzędzia i serwery. Mieliśmy już Pocztę Polską, fakturę Play, potwierdzenie DPD, ponowną fakturę Play, paragon Zary, pełnomocnictwo dla kancelarii, projekt architektoniczny, potwierdzenie płatności PayU, paragon elektroniczny Tpay oraz fakturę Netii. Czekamy na jedenastą.
Powrót
Komentarze
Do Thomasa – faktura w DOC? :D
Z3S: „dziseiąta” – autokorekta mózgu sobie radzi, ale podkreśla ;) , „Co ciekawe nic nie wskazuje” – przecinek?
Dane napewno nie pochodziły z wycieku Netii. W 2 firmach dostałem dzisiaj takiego maila, a tylko jedna z nich kiedykolwiek była klientem Netii.
Pewno też korzystają ale nie tylko i czasem im dopasowanie nie wychodzi: w lutym przypełzło z tej serii kampanii „adresowane” na pełną nazwę innej firmy (sp zoo) a z adresatem (DG) zgodny był tylko pierwszy człon nazwy – źródłem nazwy w tym przypadku był krs.
Ja dzisiaj dostałem „FW: rachunki” od „[email protected]” W załączniku plik „rachunek.doc” (~163KB)
Thomas – żałosny wiechol, zwykły złodziej i pośmiewisko.
Niebawem w więźniu będzie robił lody swoim chłopakom.
Najpierw wspomniana hostownia musiałaby wziąć się wreszcie ogarnąć, póki jeszcze mają jakichś klientów, bo na razie to mają wszystko w poważaniu i przyzwalają na tego typu procedery.
Tomek,a Ty się tak po ludzku nie boisz,że w końcu ktoś się wkurwi,na tyle mocno, że zrobi sobie wczasy w tej twojej Belgii i ci obie buzię? ;)
11 to ups z faktura z domeny ups-pl.pl podeśle wam jutro lub jeszcze dziś wieczorem
Potwierdzam, też dostałem z ups, ale tam adres IP zaczynał się na 200 coś i nie wiem czy to ten sam autor. Z resztą już wysłałem za pierwszym razem na skrzynkę kontaktową Z3S.
A nie, przepraszam, adres tym razem to: http://185.43.5.63/express/track.php?id=1ecb2c86d442267e7d18c99ab6b9326f. Wczoraj zgłosiłem do CERT (poprzednim razem też) i już zablokowali witrynę. Jakby co mogę podesłać próbkę tego co rozsyłali ludziom. A dla Thomasa mam to: https://www.youtube.com/watch?v=YZQpptwEceo
Pytanie czy teraz przyszedł czas na PKO leasing? bo tym razem dostałam takową, gdzie faktura również jest zapakowana w załączniku jako zip. To bardzo ciekawe bo oczywiście nie miałam wcześniej styczności z leasingiem akurat w PKO.