Oszustwo na kancelarię prawną, która nie istnieje

1 sierpnia, 2018
Oszustwo i fałszywa faktura

Przestępcy przyzwyczaili nad do tego, że w kampaniach, w których rozprzestrzeniają szkodliwe oprogramowanie podszywają się pod podmioty mające odzwierciedlenie w rejestrze KRS oraz w działalności, którą faktycznie wykonują (na podstawie PKD). Tym razem nie przyłożyli się za bardzo do przygotowania fałszywej wiadomości, która jest najważniejszą częścią ataku.

Oryginalna pisownia:

Temat: Faktura Kancelaria

Treść: W załączniku przesyłam fakturę do złożonego zamówienia.

Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 30.05.2018 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.

Pozdrawiam,

Torbus Urszula

Broagra Sp. z o.o.

Oszustwo kancelaria prawna

W załączonej wiadomości znajduje się spakowany plik Fa_2018333.rar, a w środku kiepska imitacja faktury, która nie posiada nawet ikonki Adobe, tak bardzo rozpoznawalnej wśród nietechnicznych użytkowników.

Uruchomienie pliku Fa_2018333.vbs powoduje wykonanie złośliwego kodu poprzez proces wscript.exe, który komunikuje się z serwerem o adresie IP 172.245.158.165 umiejscowionym w Stanach Zjednoczonych. Dalej w zależności od różnych czynników wirus próbuje tworzyć skrypty powershella i uruchomić je — z kolei te tworzą w %programfiles% plik, który będzie dodany do autostartu. Szkodnik będzie uruchamiał się z każdym włączeniem komputera i w zależności od systemu, komunikował się z serwerem. Finalne szkodliwe oprogramowanie może zawierać najbardziej niebezpieczną postać, czyli trojana bankowego lub backdoora.

Oszust próbuje podszyć się pod firmę Broagra Sp. z o.o. pod pozorem faktury za złożone zamówienie. W temacie „Faktura Kancelaria” próbuje stwarzać wrażenie, że wiadomość została wysłana przez kancelarię prawną – ale z bardzo dziwnego adresu e-mail [email protected]. Pod subdomeną banolli.nazwa.pl ciągle znajdują się zaszłości pozostawione przez administratora strony restauracji Banolli.pl. Pod e-mail tej firmy oszust próbuje się podszyć.

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ady48.rev.netart.pl 77.55.102.48

Spamer do serwera nazwa.pl loguje się z adresu IP:

37.252.9.159

Hash pliku .VBS po wypakowaniu załącznika .RAR:

eaae5a0f17d0fb143186c9659d8adfb4b7d8d142050e286023acd6568fbbf91a

Potencjalne nazwy załączników:

Fa_2018333

Próby podszywania się pod adresy mailowe:

[email protected]

Wszystkim czytelnikom polecamy nasz poradnik zabezpieczania komputerów z systemem Windows. Opisujemy w nim krok po kroku, w jaki sposób chronić się przed złośliwymi załącznikami. Dzięki tym wskazówkom tego rodzaju szkodliwe oprogramowanie nie będzie dla nikogo stanowiło zagrożenia.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]