[Aktualizacja #2] Uwaga na maile podszywające się pod grupę STU ERGO Hestia i biuro rachunkowe Tomfis

11 czerwca, 2018

Dzisiaj rano otrzymaliśmy od naszego czytelnika Konrada dwie wiadomości, które zostały do niego dostarczone z tego samego adresu IP łączącego się z serwerem pocztowym dwóch różnych podmiotów. Oszust z rzekomymi fakturami próbuje podszyć się pod spółkę ubezpieczeniową STU ERGO Hestia SA oraz biuro rachunkowe „Tomfis”:

Spam podczywający się pod STU Ergo Hestia

Szanowny Kliencie,

w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.

W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.

Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.

Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).

Z poważaniem

Paweł Kolasa

STU Ergo Hestia S. A.

I druga wiadomość:

Spam podczywający się pod biuro rachunkowe

Witam,

w załączniku przesyłam druki wpłat na podatki za czerwiec.

Biuro Rachunkowe „Tomfis”

Artur Kalemba

ul. Tatrzańska 2

62-800 Kalisz

W jednym z załączników FV_2045.zip znajduje się plik FV_2045.vbs podszywający się pod fakturę w bardzo prymitywny sposób. Jego uruchomienie wyzwala systemowy proces wscript.exe służący do uruchamiania plików skryptowych — łączy się z adresem TCP/198.12.113.17, ale nie pobiera żadnej dodatkowej zawartości. Jest to więc nieudana próba stworzenia downloadera (co mało prawdopodobne) lub rozpoznanie ofiar przed większą kampanią i dlatego zalecamy ostrożność przy otwieraniu tego typu podejrzanych faktur oraz zainstalowanie renomowanego oprogramowania antywirusowego.

Załącznika z drugiej wiadomości nie udało nam się sprawdzić, ponieważ plik został zablokowany na poziomie dostawcy serwera pocztowego przez skanowanie antywirusowe, więc do odbiorcy dotarła zabezpieczona zawartość:

usunięte zagrożenie

Wiadomość podszywająca się pod biuro rachunkowe wysyłana jest z serwera nazwy.pl:

alt201.rev.netart.pl ([85.128.176.201]:55503)

Wiadomość podszywająca się pod STU Ergo Hestia wysyłana jest z serwera:

rod-zimbra-app01.hestia.polska ([127.0.0.1])

Spamer łączy się z powyższymi serwerami pocztowymi z adresu:

46.246.119.242

Hash załącznika FV_2045.zip po wypakowaniu (załącznik z drugiej wiadomości został zablokowany przez anty-spam zintegrowany z serwerem poczty):

cf613682fbd2076dab02f15ef28b028f7b40cbacd4f6cfc6b840ab9685566b2f

Aktualizacja #1 11.06.2018

Okazuje się, że jest tego więcej. Sześć godzin po opublikowaniu analizy, czytelnik Maciej podsyła dodatkowe, powiązane wskaźniki:

FAKTURA_155.exe 46dd1218963e3d981321dbd4ea9a9b6c 
FV_2045.vbs 1b23c56123771ea9c3713172f9a9893c 

Możliwe tematy wiadomości:

Podatki - czerwiec
zestawienie płatności
Faktura VAT

Próby podszywania się pod nadawców:

[email protected]
[email protected]
[email protected]

Inne nazwy załączników:

faktura_155.zip
faktura_286.zip
faktura_764.zip
faktura_4164.zip
faktura_8176.zip
faktura_7165.zip
fv_1044.zip
fv_2045.zip
fv_3096.zip

Dodatkowe adresy IP serwerów WWW, z którymi łączy się malware:

185.159.82.45
176.119.1.104

Aktualizacja #2 15.06.2018

www.tomfis.mtx.pl, zamieszczamy poniżej:

OŚWIADCZENIE

Informujemy, iż wizerunek naszej firmy został wykorzystany przez cyberprzestępców, którzy podszywają się pod naszą firmę, wysyłając wiadomości e-mail z załącznikiem, w którym znajduje się wirus. Oszust korzysta z różnych adresów e-mailowych, tytułuje twoje wiadomości „podatki za czerwiec”, w treści ujmuje dane naszego biura rachunkowego korzystając z naszej nazwy, danych właściciela oraz adresu. Jako załącznik podaje fakturę w formacie „ .zip „. Prosimy o nieotwieranie tego typu e-maili.

Oświadczamy iż nasze biuro nie ma z tymi wiadomościami nic wspólnego. Jedyny i właściwy e-mailem naszej firmy to [email protected].

W razie wątpliwości zapraszamy do kontaktu pod nr tel. 501-647-687 lub 509-615-631 lub drogą e-mailową na adres: [email protected]

Właściciel Biura Rachunkowego „TOMFIS”, Jadwiga Tomczak

Rozmawialiśmy telefonicznie z właścicielką biura rachunkowego. Szczerze jej współczujemy. Odbiorców fałszywych wiadomości, którzy trafili na ten artykuł, prosimy w imieniu firmy „Tomfis”, aby nie nękali telefonami biura rachunkowego, ponieważ żadne systemy informatyczne firmy „Tomfis” nie zostały przełamane, a sama firma nie ma z tymi fałszywymi wiadomościami nic wspólnego. Jak nas poinformowano, incydent został zgłoszony na policję.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
21 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]