Uwaga na nowy odcinek kampanii, tym razem „Faktury od Netii”

dodał 20 marca 2017 o 15:00 w kategorii Złośniki  z tagami:
Uwaga na nowy odcinek kampanii, tym razem „Faktury od Netii”

Chyba najbardziej płodny autor emaili ze złośliwymi załącznikami w ostatnich 4 miesiącach rozpoczął dzisiaj kolejna wysyłkę. Załącznik pozostaje w większej mierze bez zmian, lecz treść kampanii jest nowa i podszywa się pod Netię.

Otrzymaliśmy już od Was kilkanaście zgłoszeń, zatem możemy sądzić, że liczba wysłanych emaili nie jest mała. Z innych źródeł wiemy, że w kampanii TPay tego samego autora wysłane było co najmniej kilkadziesiąt tysięcy wiadomości.

Email jak prawdziwy, faktura niekoniecznie

Wiadomość rozsyłana tym razem przez atakującego wygląda następująco:

Witaj,
informujemy, ze zostala wystawiona faktura za uslugi telekomunikacyjne.
Dane klienta: [tutaj nazwa odbiorcy]
Numer konta Abonenta: 45043388
Numer faktury: 5805153791/22/0
Data wystawienia: 2017-03-20
Termin platnosci: 2017-04-03
Nazwa wystawcy: NETIA S.A.
ul. Poleczki 13
02-822 Warszawa
Numer konta bankowego: 90 1140 1560 1530 9945 0433 8882
Forma platnosci: Sposób platnosci – dowolny
Kwota do zaplaty: 73,68 zl

Wiadomość została oczywiście wysłana z serwerów Nazwa.pl (jeśli czyta nas jakiś pracownik tej hostowni któremu zostały resztki przyzwoitości to zapraszamy do kontaktu) i podszywa się pod prawdziwy adres nadawcy. Treść wiadomości została skopiowana z faktury prawdziwego klienta Netii (numer rachunku należy do puli przynależnej Netii).

Co ciekawe, wiadomość jest spersonalizowana. Nazwa odbiorcy zarówno w polu „Do” jak i w nagłówku „Dane klienta” jest inna dla każdego klienta i skojarzona z jego adresem email. Dane odbiorców zostały pobrane z bazy firm. Co również ciekawe, nic nie wskazuje na to, by dane odbiorców pochodziły z niedawnego wycieku z Netii.

A w załączniku…

Sam załącznik to dobrze nam znany vjw0rm z serwerem C&C pod adresem

Tym razem do jego kodu autor dołączył cytat z utworu rapera Ramona 23, tradycyjnie już dla wszystkich kampanii wpisując się w klimat polskiej sceny rapowej.

Czekając na cud każdy błądzi Dochodząc do dnia w którym Bóg nas osądzi Dziś nadszedł ten dzień w którym znajdę cel By móc światem rządzić

Dobranie się do „faktury” to nie lada wyczyn. Najpierw trzeba rozpakować plik

by znaleźć w nim folder

a w nim pliki

W pliku TXT należy znaleźć hasło do rozpakowania pliku RAR:

W pliku RAR znajduje się katalog

a dopiero w nim upragniona „faktura”

Thomas, jak tam klikalność w takim wariancie? Przekracza 0,1%?

Ciekawy ślad

W kodzie rozsyłanej wiadomości można znaleźć następujący fragment

To najwyraźniej błąd nadawcy, któremu do treści wiadomości nie dokleił się prawidłowo lokalny plik graficzny. To nie jedyny błąd – w wiadomości brakuje także polskich znaków.

To już dziesiąta zanotowana przez nas kampania tego samego autora, oparta o te same narzędzia i serwery. Mieliśmy już Pocztę Polską, fakturę Play, potwierdzenie DPD, ponowną fakturę Play, paragon Zary, pełnomocnictwo dla kancelarii, projekt architektoniczny, potwierdzenie płatności PayU, paragon elektroniczny Tpay oraz fakturę Netii. Czekamy na jedenastą.