Uwaga na wiadomość od „Paczka w RUCHu” która czeka w Waszej skrzynce

dodał 14 maja 2017 o 21:46 w kategorii Złośniki  z tagami:
Uwaga na wiadomość od „Paczka w RUCHu” która czeka w Waszej skrzynce

Przez cały weekend trwała wysyłka wiadomości ze złośliwym oprogramowaniem podszywających się pod serwis Paczka w RUCHu. To pierwszy zaobserwowany przez nas przypadek użycia tej marki, a i załącznik jest odrobinę inny.

Czasem widzimy kampanie oszustów, które trwają kilka dni pod rząd, podczas których rozsyłana jest taka sama wiadomość. Kampanie te magicznie kończą się gdy je opiszemy – zatem czas chyba zamknąć kolejną z nich.

„Zawsze po drodze”. Paczka w RUCHu – historia drogi jednej Paczki

Najnowsza kampania opiera się na podobnych założeniach jak wiele wcześniejszych, jednak jest kilka szczegółów odróżniających ją od poprzednich. Wiadomość email jest oparta na prawdziwym powiadomieniu od Paczki w RUCHu i wygląda następująco:

Treść to:

Jest! Twoja paczka o numerze 21000555664552 po podróży dotarła prosto od nadawcy do wybranego przez Ciebie punktu prowadzącego usługę „Paczka w RUCHu”. Teraz czeka aż wybierzesz dogodną dla siebie porę i ją odbierzesz.
Kod odbioru: 69***1
Pełny kod odbioru, oraz numer przesyłki znajdziesz w załączonym liście przewozowym.
Kod pozwalający otworzyć list: CYeTnbeP9
Pamiętaj, że przesyłka będzie czekać na Ciebie przez 5 dni. Odbierz ją jak najszybciej i ciesz się już dziś z zakupów.

Co ciekawe, w próbkach z 12. maja znajdowały się także fragmentaryczne dane osobowe odbiorcy, prawdopodobnie pochodzące z jakiegoś wycieku. Przestępca usunął fragment kodu odbioru i dodał informację, że pełny kod odbioru znajduje się w załączniku. W załączniku znajdziemy zatem plik

zabezpieczony hasłem CYeTnbeP9. W środku znajduje się plik

który jest programem w jezyku VBScript, wywołującym polecenia PowerShella, z których najistotniejsze wygląda tak:

Wcześniejsza, rozsyłana od 12 maja wersja łączyła się do serwera pod domeną

Pod oboma adresami kryje się ten sam serwer 149.56.201.93, który obsługiwał ostatnio kampanie z fałszywą fakturą Playa oraz fałszywym wyciągiem z PKO BP.  Z kolei spam rozsyłany jest z serwera 185.145.44.11, gdzie uruchomiona była usługa C&C bota rozsyłanego wraz z rzekomym wyciągiem PKO BP. Oczywiście do wysyłki spamu wykorzystywany jest także serwer znajdujący się w firmie Nazwa.pl (77.55.1.202). Poniżej kilka linków do VT dla chętnych do dalszego śledztwa.

Jak zatem widać, autor kampanii się nie poddaje i nadal eksploatuje sprawdzone techniki. Czekamy na kolejne próbki.

Dziękujemy osobom, które podesłały nam swoje próbki.