Uwaga na wiadomości podszywające się pod faktury od PKO Leasing S.A.

dodał 12 lipca 2017 o 12:42 w kategorii Złośniki  z tagami:
Uwaga na wiadomości podszywające się pod faktury od PKO Leasing S.A.

Trwa właśnie nowa kampania przestępców skierowana do przedsiębiorców. Tym razem autor kampanii podszywa się spółkę PKO Leasing i wysyła do internautów rzekomą fakturę – a tak naprawdę konia trojańskiego.

Przedsiębiorcy stają się coraz częściej celem ataków przestępców. Część złodziei i szantażystów, zamiast rozsyłać swoje ataki masowo do wszystkich internautów, wybiera listy adresowe wykradzione z branżowych serwisów i celuje swoje kampanie tylko w firmy i osoby prowadzące działalność gospodarczą zakładając, że osiągną tam większe zyski. Przykład takiego ataku znajdziecie poniżej.

Nowa e-faktura od PKO Leasing S.A.

Wiadomość, której nadawca podszywa się adres leasing.efaktura@pkoleasing.pl, ma następującą treść:

Witamy

Dziękujemy, że wybrali Państwo nasze usługi.
Dokładamy wszelkich starań, aby ich poziom był jak najwyższy

W załączeniu przesyłamy e-fakturę (w formacie PDF) dotyczącą
zrealizowanych, przez PKO Leasing S.A., usług.

Faktura znajduje się szyfrowanym achiwum zip hasło do archiwum: jK5L

Serdecznie zapraszamy do korzystania z portalu https://faktury.pkoleasing.pl,
gdzie na bieżąco i w każdym momencie mogą Państwo sprawdzić i pobrać
e-fakturę.

Zachęcamy również do zapoznania się z aktualnościami i promocjami,
które przygotowaliśmy specjalnie dla naszych Klientów (wystarczy
kliknąć baner).

Z góry dziękujemy za terminowe regulowanie należności.

PKO Leasing S.A.
Infolinia. 801 887 887
leasing.efaktura@pkoleasing.pl

W załączniku znajduje się plik

PKO LEASING LM_11_07_061934 PDF.zip

który tak naprawdę jest plikiem RAR. Plik jest zabezpieczony hasłem, co powinno być ogromnym znakiem ostrzegawczym dla odbiorcy (to ulubiona metoda przestępców dla potrzeb unikania systemów antywirusowych na poziomie poczty elektronicznej). W archiwum znajduje się plik

PKO LEASING LM_11_07_061934 PDF.js

który jest koniem trojańskim vjw0rm napisanym w JavaScripcie. Umożliwia on przestępcy przejęcie kontroli nad komputerem ofiary.

Szczegóły techniczne

Plik ZIP, SHA1: 2c84ba9c912417bdd6c9b60d740c99024a96eec2
Plik JS, SHA1: ef61fd039107d2fba65f7ee413bda37b5273225a
Email wysłany z IP 81.2.237.217
Przez serwer msikora1.nazwa.pl
Adres C&C: lipiec.ftpserver.biz (178.32.201.212)

Dziękujemy osobom nadsyłającym próbki – to dzięki Wam możemy ostrzegać innych.