Dzisiaj rano otrzymaliśmy od naszego czytelnika Konrada dwie wiadomości, które zostały do niego dostarczone z tego samego adresu IP łączącego się z serwerem pocztowym dwóch różnych podmiotów. Oszust z rzekomymi fakturami próbuje podszyć się pod spółkę ubezpieczeniową STU ERGO Hestia SA oraz biuro rachunkowe „Tomfis”:
Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.
W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.
Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.
Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).
Z poważaniem
Paweł Kolasa
STU Ergo Hestia S. A.
I druga wiadomość:
Witam,
w załączniku przesyłam druki wpłat na podatki za czerwiec.
Biuro Rachunkowe „Tomfis”
Artur Kalemba
ul. Tatrzańska 2
62-800 Kalisz
W jednym z załączników FV_2045.zip znajduje się plik FV_2045.vbs podszywający się pod fakturę w bardzo prymitywny sposób. Jego uruchomienie wyzwala systemowy proces wscript.exe służący do uruchamiania plików skryptowych — łączy się z adresem TCP/198.12.113.17, ale nie pobiera żadnej dodatkowej zawartości. Jest to więc nieudana próba stworzenia downloadera (co mało prawdopodobne) lub rozpoznanie ofiar przed większą kampanią i dlatego zalecamy ostrożność przy otwieraniu tego typu podejrzanych faktur oraz zainstalowanie renomowanego oprogramowania antywirusowego.
Załącznika z drugiej wiadomości nie udało nam się sprawdzić, ponieważ plik został zablokowany na poziomie dostawcy serwera pocztowego przez skanowanie antywirusowe, więc do odbiorcy dotarła zabezpieczona zawartość:
Wiadomość podszywająca się pod biuro rachunkowe wysyłana jest z serwera nazwy.pl:
alt201.rev.netart.pl ([85.128.176.201]:55503)
Wiadomość podszywająca się pod STU Ergo Hestia wysyłana jest z serwera:
rod-zimbra-app01.hestia.polska ([127.0.0.1])
Spamer łączy się z powyższymi serwerami pocztowymi z adresu:
46.246.119.242
Hash załącznika FV_2045.zip po wypakowaniu (załącznik z drugiej wiadomości został zablokowany przez anty-spam zintegrowany z serwerem poczty):
cf613682fbd2076dab02f15ef28b028f7b40cbacd4f6cfc6b840ab9685566b2f
Aktualizacja #1 11.06.2018
Okazuje się, że jest tego więcej. Sześć godzin po opublikowaniu analizy, czytelnik Maciej podsyła dodatkowe, powiązane wskaźniki:
FAKTURA_155.exe 46dd1218963e3d981321dbd4ea9a9b6c FV_2045.vbs 1b23c56123771ea9c3713172f9a9893c
Możliwe tematy wiadomości:
Podatki - czerwiec zestawienie płatności Faktura VAT
Próby podszywania się pod nadawców:
[email protected] [email protected] [email protected]
Inne nazwy załączników:
faktura_155.zip faktura_286.zip faktura_764.zip faktura_4164.zip faktura_8176.zip faktura_7165.zip fv_1044.zip fv_2045.zip fv_3096.zip
Dodatkowe adresy IP serwerów WWW, z którymi łączy się malware:
185.159.82.45 176.119.1.104
Aktualizacja #2 15.06.2018
OŚWIADCZENIE
Informujemy, iż wizerunek naszej firmy został wykorzystany przez cyberprzestępców, którzy podszywają się pod naszą firmę, wysyłając wiadomości e-mail z załącznikiem, w którym znajduje się wirus. Oszust korzysta z różnych adresów e-mailowych, tytułuje twoje wiadomości „podatki za czerwiec”, w treści ujmuje dane naszego biura rachunkowego korzystając z naszej nazwy, danych właściciela oraz adresu. Jako załącznik podaje fakturę w formacie „ .zip „. Prosimy o nieotwieranie tego typu e-maili.
Oświadczamy iż nasze biuro nie ma z tymi wiadomościami nic wspólnego. Jedyny i właściwy e-mailem naszej firmy to [email protected].
W razie wątpliwości zapraszamy do kontaktu pod nr tel. 501-647-687 lub 509-615-631 lub drogą e-mailową na adres: [email protected]
Właściciel Biura Rachunkowego „TOMFIS”, Jadwiga Tomczak
Rozmawialiśmy telefonicznie z właścicielką biura rachunkowego. Szczerze jej współczujemy. Odbiorców fałszywych wiadomości, którzy trafili na ten artykuł, prosimy w imieniu firmy „Tomfis”, aby nie nękali telefonami biura rachunkowego, ponieważ żadne systemy informatyczne firmy „Tomfis” nie zostały przełamane, a sama firma nie ma z tymi fałszywymi wiadomościami nic wspólnego. Jak nas poinformowano, incydent został zgłoszony na policję.
