10.02.2017 | 13:39

Adam Haertle

Uwaga na sprytny spam, podszywający się pod sklep internetowy Zara.com

Znakomita większość zgłaszanego nam przez Was spamu już wcześniej widzieliśmy – faktury, kurierzy i wezwania sądowe docierają w setkach egzemplarzy. Tym razem jednak autor  przygotował szablon inny niż te, które widzieliśmy wcześniej.

Docierający do nas spam rzadko wzbudza naszą ciekawość. Z reguły zarówno treść wiadomości jak i jej załączniki (a często także sposób wysyłki i inne cechy charakterystyczne) są kopią dobrze już nam znanych ataków. Tym razem jednak jest inaczej – przynajmniej jeśli chodzi o treść wiadomości (bo złośliwe oprogramowanie i jego serwer bardzo dobrze znamy).

Zamówienie i paragon

Wiadomość która trafiła dzisiaj do skrzynek Polaków nosi temat „DOSTARCZENIE ZAMÓWIENIA DO SKLEPU – ZAŁĄCZONY PARAGON ELEKTRONICZNY” i udaje powiadomienie od sklepu internetowego Zara.com. Wygląda ona następująco:

Wiadomość nie dość, że napisana jest bardzo poprawnym językiem, ma wszystkie potrzebne polskie znaki, to jeszcze zawiera logo sklepu. Jak na standardy spamu ze złośliwym oprogramowaniem to mocne 8/10. Prawidłowe są także wszystkie linki, dopiero załącznik zawiera złośliwy kod. Co ciekawe, załącznik jest niestety przepuszczany przez filtry Gmaila.

Co mieszka w załączniku

Rzut oka do środka załącznika nie pozostawia wątpliwości – już się kiedyś spotkaliśmy. Jest to opisywany przez nas miesiąc temu koń trojański napisany w JavaSripcie – vjw0rm. Przez ostatni miesiąc pojawiał się on regularnie pod szyldem „faktur Play”, ale najwyraźniej autor kampanii uznał, że czas na jakąś odmianę. Początek kodu po podstawowym odciemnieniu wygląda następująco:

Sam kod nie zawiera żadnych konkretnych mechanizmów ataku jak np. kradzież haseł czy szyfrowanie danych, jednak daje atakującemu możliwość doinstalowania na zaatakowanym komputerze dowolnego innego złośliwego oprogramowania – w tym także zaszyfrowania całego dysku i wymuszenia okupu. Ostrzeżcie znajomych, których podejrzewacie, że mogą chcieć otworzyć paragon z Zary.

Dziękujemy Czytelnikom, którzy podesłali nam próbki.

Powrót

Komentarze

  • 2017.02.10 14:52 Rafal

    u mnie jest nowsza wersja z evalem:

    try {
    //slp
    var s = String.fromCharCode(47,[…],125);
    eval(s);
    } catch(err) { }

    Odpowiedz
    • 2017.02.10 14:56 Adam

      To chyba ta sama, tylko do artykułu trochę odciemniliśmy

      Odpowiedz
  • 2017.02.10 15:02 Xyzz

    Namnożyło się ostatnio tych atrakcji wyklepanych w js.

    Taki protip jak zabezpieczać pc-ty innych osób przed odpalaniem js. Opcje są dwie:
    – wyłączyć Windows Script Host modyfikując rejestr (skrypty vbs też nie zadziałają)
    – lub zmienić w programach domyślnych/obsłudze rozszerzeń plików (czy jakoś tak to w tych windowsach było) tak, aby pliki js, jse i vbs nie były uruchamiane przez windows script host tylko np. były otwierane przez notatnik.

    Na plagę „faktur”, „paragonów” otwieranych przez „panie Krysie z księgowości” pomoże. Antywirusy nie wykrywają niczego podejrzanego w zobfuskowanych js.

    Odpowiedz
    • 2017.02.11 17:37 bbbb

      mutt
      najlepsze rozwiazanie

      Odpowiedz
    • 2017.02.12 10:47 Chuxxx

      dzieki za tip-a.

      Odpowiedz
  • 2017.02.10 18:42 Krzysztof

    Co zrobić jak się weszło już w załącznik?

    Odpowiedz
  • 2017.02.10 22:48 Marcin

    Kurcze dostalem tego maila czy otwarcie zalacznika na IOS moglo byc groźne?

    Odpowiedz
    • 2017.02.11 08:38 Szymon

      Nie, to atak targetowany w Windowsa

      Odpowiedz
    • 2017.02.11 11:15 Xxx

      iOS jaki jeden z nielicznyc: bezpieczny

      Odpowiedz
  • 2017.02.11 01:59 Rogerek

    Piątek 15:17 – dokładnie taki sam mail o jakim tu mowa z „Zary” trafił na firmową skrzynkę mojej żony, na jej lapka. Nie został niestety z automatu skierowany do spamu, ale dzięki Bogu żonka moja jest dość uświadomioną w tym zakresie (i ostrożną) osobą i nie otwierała załącznika :) Ale faktycznie postarali się jego twórcy – nieźle spreparowany…

    Odpowiedz
  • 2017.02.12 02:55 Chińczyk

    Jak Gmail reaguje na podrobiony adres nadawcy w domenie zara.com?

    Odpowiedz
    • 2017.02.13 07:34 Karol

      Gmail odfiltruje załącznik js i nie dotrze do Ciebie taki spam.

      Odpowiedz
      • 2017.02.14 16:07 xyzz

        A takiego .jse (encoded javascript) już gmail nie odfiltruje… Automatyka i zewnętrzne zabezpieczenia to nie wszystko.

        Odpowiedz
  • 2017.02.12 20:09 Krzysiek

    Dostałem w piątek ten sam mail na adres zapisany w CEIDG, więc bardzo możliwe że wysyłają do wszystkich firm (nawet starych).

    Odpowiedz
  • 2017.02.12 22:05 Kappa

    W jaki sposób atakujący podszywa się pod autentyczną domenę? Nigdy nie widziałem wytłumaczenia takich przypadków.

    Odpowiedz
    • 2017.02.14 13:02 kuato

      Podszywanie sie jest bardzo proste – wystarczy spojrzec np na Google i podszyc sie pod firme ktora korzysta z GSuite. Niestety uzycie serwera SMTP Google przez kazdego kto chce nie jest zbyt dobrym rozwiazaniem. Nawet DKIM oraz DMARC nie pomagaja w takich przypadkach i samemu trzeba kombinowac z filtrami przy porownywaniu elementow naglowka.

      Odpowiedz
  • 2017.02.13 09:53 Sebastian

    Hej,

    ja polecam zablokować katalog tmp w windowsie, większość tego świństwa odpala się tym katalogu. Sprawdzone

    Odpowiedz
  • 2017.02.13 10:05 Ola

    jeśli otworzyłam załacznik to przeskanowanie kompa antywirusem i wyrzucenie paragonu wystarczy??

    Odpowiedz
  • 2017.02.13 10:34 Sebastian

    Witam, polecam zablokować folder tmp w windows i już jest łatwiej z tymi programikami.

    Odpowiedz
  • 2017.02.13 16:46 lolwat

    Po komentarzu w skrypcie widać, że poziom naszego „chakiera” to co najwyżej gimbaza.

    Odpowiedz
  • 2017.02.20 11:54 PL

    Czy pewnym rozwiązaniem jest otwieranie nowej poczty najpierw na urządzeniu z androidem/ios? Wstępna weryfikacja i ocena itp a potem dopiero na dużym Windowsie?

    Odpowiedz
    • 2017.02.22 08:44 Zdzich

      … jeżeli tylko 'wstępnie zweryfikujesz i ocenisz’ zawartość pliku .js to jak najbardziej :)

      Odpowiedz

Zostaw odpowiedź do Kappa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na sprytny spam, podszywający się pod sklep internetowy Zara.com

Komentarze