Otrzymujemy sporo zgłoszeń o nowej fali ataków, która – choć przy bliższym przyjrzeniu się – jest trochę nieporadna, to jednak jesteśmy mocno przekonani, że będzie niestety bardzo skuteczna.
Po długiej fali bardzo mało wyrafinowanych wiadomości z serii „dostałeś fakturę od firmy, z którą nie współpracujesz, kliknij i zainfekuj swój komputer” (długiej, bo trwała kilka miesięcy bez większych zmian) nadszedł czas bardziej dopracowanych ataków. Czy przestępcy zmienili podwykonawcę? A może poszli po rozum do głowy? W każdym razie szanse na kliknięcia W waszych firmach są niestety większe.
INFORMACJA О ZAMIARZE WSZCZĘCIA KONTROLI SKARBOWEJ
Złośliwa wiadomość wygląda następująco:
Urząd Skarbowy odczytać zawiadomienie о zamiarze zainicjować kontroli w dniu 18.04.2019r. Wobec braku możliwości ustawienia kontaktu telefonicznego w dniach 4-7.04.2019r. i nie zastania podatnika w jego siedzibie w dniu 6.04.2019r. w celu ustalenia terminu wszczęcia kontroli. Urząd Skarbowy wyznacza termin zainicjować kontroli na 29.04.2019r. о godz. 9.00. Jednoczesnie Urzqd Skarbowy informuje, ze zgodnie z art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z p6zn. zm.) w zwiqzku art. 80 ust. 1 ustawy z 2 lipca 2004 г. о swobodzie dziatalnosci gospodarczej (Dz. U. z 2007 r.. Nr 155, poz. 1095 z pozn. zm.) czynnosci kontrolnych dokonuje si$ w obecnosci kontrolowanego lub osoby przez niego upowaznionej. Oznacza to ze w wyzej wymienionym terminie jest Pani/Pan zobowiązana do obecnosci w siedzibie swojej Firmy i wspofpracy z inspektorem kontroli. Ponadto zgodnie z art. 80 ust. 3 ustawy о swobodzie dziatalnosci gospodarczej jest Pani/Pan zobowiązuje do pisemnego wskazania osoby upowaznionej do reprezentowania Pani/Pana w trakcie kontroli, w szczegolnosci w czasie Pani/Pana nieobecnosci. Jest Pani/Pan zobowiązania do przygotowania wszystkich potrzebnych dokumentow zwiqzanych z prowadzone przez Pani/Pana Firm wymienionych w załączniku(dokumenty.rar). Nieobecnosc Pani/Pana moze zostac uznana za stan wyczerpuje znamiona wykroczenia okreslonego w art. 98 ust. 1 pkt 3 ustawy z 13 pazdziernika 1998 r. (Dz. U. z 2007 r., Nr 11, poz. 74 z pozn. zm.). INSPEKTOR KONTROLI Urząd Skarbowy mgr Marian Jakubowski
Na pierwszy rzut oka wiadomość wygląda na napisaną profesjonalnym językiem, jednak wnikliwsza lektura pozwoli zauważyć mnóstwo błędów językowych. Bezokoliczniki w miejscach, gdzie powinny być formy osobowe, słowa użyte w nieodpowiednim kontekście, brak polskich znaków, „f” zamiast „ł” – wygląda jakby ktoś trochę mówił po polsku, ale nie do końca. Nie jest to wynik wyłącznie pracy automatu tłumaczącego – po drugiej stronie najwyraźniej był człowiek, dla którego polski nie jest językiem ojczystym.
Złośliwy załącznik
Wiadomość zawiera dość typowy załącznik spotykany w dziesiątkach ataków w ostatnich miesiącach. Jest to plik VBS, którego zadaniem jest pobrać złośliwe oprogramowanie – prawdopodobnie Danabota. VBS spakowany jest w archiwum dokumenty.tar – to rzadziej spotykany format kompresji, z którym jednak świetnie radzi sobie większość narzędzi do odpakowywania plików.
dokumenty.tar 8341aae17f1d972b11d2abe50bf2a1ca04b2203e6e2dabe8df5e53c5eff71204
dokumenty_100780911.vbs 8a3d6b629350037c9cb3d131bb08fa2757e4ed32fad1e2735e74d63f4ebed5e0
Nowy trend
Tak jak wspominaliśmy, ten atak pokazuje nowy trend w działaniu napastników. W miejsce słabo opracowanych, sztampowych faktur, pojawiają się nowe, dużo lepiej opracowane szablony. W zeszłym tygodniu była to całkiem nieźle zrobiona „faktura z T-Mobile”, dzisiaj mamy korespondencję z urzędu – spodziewamy się kolejnych podobnych ataków w najbliższych dniach. Ostrzeżcie pracowników i znajomych.
Komentarze
„Na pierwszy rzut oka wiadomość wygląda na napisaną profesjonalnym językiem” – w którym miejscu tego bełkotu?
Jeżeli dla *kogokolwiek* ta wiadomość wygląda na „napisaną profesjonalnym językiem”, to może powinien przerzucić się na hodowlę rzeżuchy…
„…odczytać zawiadomienie о zamiarze zainicjować…”? RLY?
Szanowni Eksperci, zwróćcie uwagę, że użytkownik czyta emaila 1-2 sekundy, to raz, a po drugie nie dysponuje taką wiedzą i doświadczeniem jak wy. Mamy wiele zgłoszeń ludzi, którzy to uruchomili. Niespodzianka, jest świat inny niż ten, który znacie.
1. Jak 1-2 sekundy, to nie czyta.
2. Jeśli poziom ekspercki osiągamy już na poziomie umiejętności czytania czwartoklasisty, to nie mam pytań.
jak PGZ dalo sie nabrac na email ze zmianą numeru konta i przeslali tam 4 banki to zwykly kowalski prowadzący warzywniak tym bardziej moze sie nabrac
Tekst przypomina do złudzenia typowy bełkot formalnej korespondencji US. Gdyby nie literówki można by przysiąc że US właśnie nauczył się pisać jeszcze mniej czytelnie, czyli trend prawidłowy. Brawa dla autora za wyczucie.
W niczym nie przypomina.
Ty w ogóle czytałeś jakieś pismo z Urzędu Skarbowego?
JA czytałem sporo takich pism i jak przyszedł mail to miałem sporego fuckupa bo jak wypisz wymaluj bełkot jak z urzędu. Owszem bardziej przypomina bełkot zusu, ale i US potrafi takim zasunąć. Co więcej, i błędy się zdarzają w pismach urzędowych.
Problemem jest brak podpisu terminy z czapy, bo w kwietniu 19r. Mnie nie zastali… I fakt, że mailem takiego czegoś się nie przesyła a jak to podpisane cyfrowym podpisem. Ale samo pismo nie odbiega bardzo od bełkotu urzędowego.
Jak trafi na kogoś nieobeznanego i bojaźliwego reagującego na US nerwicą to rozsądek może odjąć.
Proszę zauważyć, jak sami piszą dziś ludzie – nie tylko w Internecie, ale i w czasopismach/portalach informacyjnych i pismach urzędowych. Rażące błędy na każdym kroku i całkowita nieznajomość zasad gramatycznych wynikają z braku obcowania z literaturą czy nawet jakimkolwiek słowem pisanym, które przeszło przez korektę. Ludzie obcują tylko ze ściekiem wklepywanym bezmyślnie na ekranach smartfona, dlatego nie mają zmysłu, który pozwoliłby im wyczuć niekompetencje autora. Skąd bowiem ma taki półanalfabeta wiedzieć, że czytany tekst najeżony jest błędami, skoro on sam te błędy bezwiednie popełnia? Nic więc dziwnego, że na tekst, wyglądający jak dzieło przedszkolaka, pracownicy firm reagują jak na każdy inny tekst.
To jakaś długa kampania będzie, bo wszystkie daty kwietniowe ;)
No masakra, chyba używali translatora z 2000 roku….
Adam, Ty masz trochę kaca!
ten pliczek dokumenty.tar posiada spore zagrożenie wynikajace z zawartości tu podsyłam scana https://www.virustotal.com/#/file/8341aae17f1d972b11d2abe50bf2a1ca04b2203e6e2dabe8df5e53c5eff71204/detection sami zobaczcie lub https://www.virustotal.com/pl/file/8341aae17f1d972b11d2abe50bf2a1ca04b2203e6e2dabe8df5e53c5eff71204/analysis/1551094998/
tar nie jest formatem kompresji.
Jasnowidze jakieś :) piszą o tym, że w kwietniu br. nami nie mogli się z nami skontaktować :)
Hej,
własnie się dowiedziałem, że moja mama otworzyła załącznik z tego maila, w związku z czym chciałbym profilaktycznie sformatować dysk / przywrócić system z partycji recovery. Pojawia się tylko problem – jak bezpiecznie skopiować dane z takiego komputera? Myślałem o odpaleniu zawirusowanego kompa z linuxa na live cd i przekopiowaniu danych na dysk zewnętrzny, ale trochę się boje, że wraz z tymi danymi mogę skopiować sobie tego wirusa (?).
Czy ktoś miał podobne doświadczenia i może się podzielić jak można bezpiecznie rozwiązać taki problem?
Cokolwiek się pobrało, to na 99,99% jedynie pliki wykonywalne robią „zło” więc jeśli skopiujesz dane w jakikolwiek sposób (dysk podłączony do innego komputera czy live cd) to powinno być OK.
Witam,
Właśnie otworzyłem taki plik .tar w telefonie? Co mam zrobić aby bezpiecznie użytkować telefon?
również jestem ciekaw co w tej sytuacji, ja otworzyłem ten załącznik na iphonie.
Jeśli Twój telefon wykonuje skrypty VBS to masz problem. :)
Co właściwie ten wirus robi? kradnie jakieś dane bankowe czy coś? Ale przecież bez hasła jednorazowego i tak nie wykona przelewu.
przecież wpisujesz w momencie wysyłania przelewu hasło jednorazowe, nie?
większym problemem jest przechwycenie całego hasła, a nie tylko losowo wybranych liter
ale to osiąga poprzez podmianę niektórych elementów strony, wpisz w wyszukiwarkę webinject
Niestety wielu małych „biznesmenów” na samo „Urząd Skarbowy” jako nadawcę dostanie pomieszania zmysłów (ze strachu i to najczęściej tego urojonego) i przeleci zamglonym wzrokiem tekst wiadomości (co tam błędy, co tam daty, co tam nadawca) i nerwowo będzie rwał się do otwarcia załącznika żeby poznać co go może uratować przed tym strasznym urzędem. A taki Urząd co to jeszcze może przemieszczać się w czasie?
Coraz tego więcej bo Google Translate zaczął dla języka polskiego jakiś czas temu dużo lepiej działać – dlatego będzie tego coraz więcej
„Kali informować, że Kali mieć krowa.” :)
Po zatrzymaniu domniemanych szpiegów chińskich kilka tygodni temu, w chińskim internecie żartowano co owi szpiedzy mieli wykradać – przepisy na jabłka :-).
Czy jak pobrałem ten plik ale nie otworzyłem, to mogę go zwyczajnie usunąć, a następnie opróżnić kosz? Czy mógł on już narobić jakiś szkód albo może aktywuje się przy usuwaniu czy coś w tym stylu?