​SPAM: „Operacja windykacja”

2 października, 2015

Nie, nie mamy tutaj na myśli programu emitowanego na Discovery Turbo Xtra, lecz kolejną kampanię spamerską, a może i jedną i tą samą, która nieprzerwanie pod różnymi postaciami nęka polskich internautów.

W tym przypadku, dzięki Marcinowi (dzięki) dotarła do nas próbka spamu, która trafiła na skrzynkę pocztową naszego czytelnika. Marcin mając pewne wątpliwości co do wiarygodności tej wiadomości (zresztą i słusznie), zechciał ją za naszym pośrednictwem wcześniej zweryfikować.

W ostatnim czasie większość z nas była świadkiem pośrednim lub bezpośrednim dobrze napisanych i ukierunkowanych spamerskich kampanii, a atakowano m.in kancelarie prawne, ale także klientów biznesowych prowadzących działalność handlową za pośrednictwem serwisu aukcyjnego Allegro.pl

Ten przypadek jest bardzo podobny do innych, w zasadzie nie różni się niczym od innych tego typu, poza załącznikiem, na które założone jest hasło. A oto oryginalna wiadomość:

Temat: wezwanie do zaplaty, windykacja
Wysłano: 1 paź 2015 1:50 PM
Od: Tomasz Sawicki <[email protected]>
Do: ***

Szanowni Panstwo,

Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty oraz ewentualna propozycje ugody.

Haslo do zalacznika: windykacja
--
Tomasz Sawicki
Kancelaria Sawicki&Partnerzy S.A.
Kolarska 10
50-003 Wroclaw

Jak rozpoznać poprawność takiej wiadomości?

1. Szanująca się kancelaria, ale nawet osoba prywatna, używa języka polskiego stosując znaki diakrytyczne. Tutaj takich nie znajdziemy.

2. Będąc adresatem takiej wiadomości zweryfikuj dane kancelarii oraz ich właścicieli. O ile informacje o Kancelarii Sawicki faktycznie znajdują się w sieci, to nie znajdziemy tam ani Tomasza, ani ulicy Kolarskiej 10 we Wrocławiu, która de facto nie istnieje.

3. Jakiekolwiek załączniki przesłane od kancelarii niekoniecznie będą zawierać archiwum z hasłem. Poza tym, jaki jest sens wysyłać zaszyfrowane archiwum z hasłem w tej samej wiadomości?

4. Czy może toczyć się postępowanie karne wobec Ciebie? Jeżeli nie, już sam ten fakt mówi, że jest to zapewne spam.

5. Archiwum zawsze możesz podejrzeć bez uruchamiania pliku wykonywalnego. Otworzenie archiwum (ZIP, RAR, etc; lecz nie SFX) i wpisanie hasła wyświetli jego zawartość i zdradzi, że ów plik zawiera podwójne rozszerzenie .pdf.scr

Plik windykacja_nr_803.pdf.scr obecnie wykrywany jest przez kilkanaście programów antywirusowych według serwisu VirusTotal, który jest tylko wyznacznikiem i nie odzwierciedla faktycznej skuteczności programów antywirusowych.

Analiza pliku na VT: https://www.virustotal.com/pl/file/19f665f7530e004a38dd6ce7d9c04dabb87646d3a52f23f661bd51b326208811/analysis/

Plik został spakowany programem Armadillo, przez co autorowi tego złośliwego oprogramowania udało się zmniejszyć jego rozmiar. Użycie takiego programu może antywirusowi mówić o tym, że ów plik jest złośliwy – metodę tą bardzo często stosują autorzy rożnego rodzaju malware, jednak nie musi to oznaczać, że każdy spakowany plik za pomocą packera musi być złośliwy.

Również jego analiza okazuje się utrudniona, gdyż autor pliku windykacja_nr_803.pdf.scr zastosował pewne techniki, które wykrywają uruchomienie na wirtualnym systemie utrudniając swoją analizę i powoduje, że wirus nie uruchomi swojego szkodliwego ładunku i nie zadziałają narzędzia do debugowania.

Sam plik windykacja_nr_803.pdf.scr również nie musi być docelowym złośliwym wirusem, a jedynie dropperem, czyli programem, który przenosi / pobiera z sieci i uruchamia docelowe szkodliwe oprogramowanie, np. trojana bankowego.

Jeszcze raz ostrzegamy, aby w podobnych przypadkach dokładnie sprawdzić pochodzenie wiadomości oraz jej ewentualną wiarygodność.

P.S Jeżeli dostaliście na skrzynkę pocztową ciekawy spam będący próbą oszustwa, wyślijcie go nam na adres [email protected] lub podzielcie się tym na forum: http://avlab.pl/forum/malware-spam-i-podatnosci

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]