Nieustanna walka z oszustami: podszywają się pod UPS Expresss

28 marca, 2017

I to na pierwszy rzut oka całkiem poprawnie. Ile w Polsce mamy takich osób, które akurat oczekują dostawy towaru do rąk własnych od pracownika firmy kurierskiej UPS? Z pewnością setki, jeśli nie tysiące. To właśnie oni są najbardziej narażeni na tę próbę ataku.

Do naszej redakcyjnej skrzynki trafiają wiadomości z prośbą o sprawdzenie bezpieczeństwa e-maili, które różnią się od siebie tylko numerem zamówienia. Cała reszta, a więc: adres IP, z którego został wysłany spam, treść wiadomości, załącznik i strona do pobrania rzekomej faktury są identyczne.

E-mail (zachowano pisownię oryginalną):

Od: „UPS Express, 642” <info(at)ups-ort.com>

Do: <kontakt(at)avlab.pl>

Temat: Informacja o twoim zamówieniu, 99384772

Treść: Informacja,

przesyłamy fakturę numer F/73525234/03/17 wystawioną 23.03.2017. Dokument znajduje się w załączniku, a poniżej prezentujemy jego podsumowanie.

Numer przesyłki: EE943326861PL

Prosimy o wpłatę: 415,25 zł

*e-faktura jest w formacie PDF i mozna ja otworzyc za pomoca programu Adobe Acrobat Reader, Firefox, Chrome

Dziekujemy za korzystanie z naszych uslug.

UPS Express.

UPS
Wiadomość z załącznikiem.
UPS
Plik PDF zawiera hiperłącze, które przenosi ofiarę do strony WWW.
UPS
Strona, na której dochodzi do pobrania pliku EXE.

Szczegóły techniczne

Próba zainfekowania komputera ofiary podzielona jest na kilka etapów:

  • Wiadomość wysyłana jest z adresu IP 212.109.192.201 na terenie Federacji Rosyjskiej.
  • Spam zawiera załącznik PDF o nazwie „faktura_dbccb780517525c4cb40a6045d20ac851.pdg.exe”, który ma podwójne rozszerzenie. Domyślnie w systemie Windows, drugie rozszerzenie plików jest ukrywane. Ten trik powszechnie znają wszyscy badacze bezpieczeństwa oraz oszuści, stąd też np. w systemie Windows 10 (na domyślnych ustawieniach) plik będzie widziany jako „nazwa_pliku.pdg”.
  • Załączony PDF nie jest szkodliwy, ale zawiera adres URL, który przekierowuje ofiarę do strony internetowej, na której umieszczono podróbkę CAPTCHA oraz button „pobierz faktura”.
  • Ze strony umiejscowionej na serwerze w Rosji (IP: 37.46.131.79) pobierany jest podwójnie spakowany plik EXE:
    • SHA256: 5a880267a123e867bab07c5ea7576da45ba2cffb8d792caf2083bfe334fa4756
    • Współczynnik wykrywalności VT 23/61

Docelowy złośliwy plik wyposażony jest w funkcje, które pozwalają mu wykryć: zainstalowane oprogramowanie antywirusowe, język systemu operacyjnego, uruchomiony menadżer procesów oraz inne aktywne okna (np. narzędzia do analizy malware). Jego zadaniem jest zainstalowanie się w systemie oraz pobranie innego złośliwego oprogramowania. Jest to więc wirus typu downloader.

Zagrożenia nie należy bagatelizować. Nasi czytelnicy z pewnością nas czas rozpoznają próby (nie)skutecznej socjotechniki. O tym incydencie powinni powiadomić mniej doświadczonych technicznie użytkowników internetu, którzy naprawdę mogą oczekiwać na przesyłkę od UPS. Dla nich wiadomość o niezapłaconej fakturze od firmy UPS może być bardzo wiarygodna.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]