Kampania ze spamem na InPost może ukrywać ransomware

12 grudnia, 2018

Zaledwie wczoraj informowaliśmy o oszukańczej kampanii podszywającej się pod DHL Express. Przestępcy nie mają kalendarza rozsyłania spamu, ale ich aktywność zauważa się w związku z dużymi imprezami masowymi, weekendami lub zbliżającymi się świętami, kiedy Polacy chorują na zakupową gorączkę. Prawdopodobnie z tego powodu mamy do czynienia z bardzo podobnym przypadkiem, ale teraz kampania ze spamem dotyczy przewoźnika InPost, o czym poinformował CERT Polska.

InPost spam

Oryginalna wiadomość:

Od: 
Inpost Polska [email protected]

Temat: 
Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.

Treść: 
Odbierz swoją paczke w paczkomace InPost.
Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.

Dane zlecenia:

- przesyłka numer:
090522-2018

- data założenia zlecenia:
Czwartek, 06 Grudzień

- typ przesyłki: 
gotówkowa (ubezpieczona)

Adres paczkomatu odbioru przesyłki, jak i kod znajdziesz TUTAJ.

Od razu dostrzegamy, że wiadomość została wysłana do wielu (widać to po użytym polu BCC, gdzie są ukryci adresaci). W hiperłączu pod wyrazem TUTAJ znajduje się adres URL do strony w domenie szybkiplik.pl. W zależności od wariantu może się tam ukrywać:

Trojan:

InPost24_-_Dane_odbioru_paczki.doc.lnk, SHA256: 4a3d55070214dcd6f646fd347a523cdcb61820c74902417720478131d382984d

word.info.file.doc, SHA256: 20ce81e489337e6ae90c831945fcb4f493d2e2c117778b77ae62a5b4311c94bb

Albo ransomware:

bf4f76802ece7ec698fbe8328fd3cc3a.pdf, SHA256: 6c2b1c128608164c49166cd9449d13796a02eacdeba06978dbb3447b0d252926

W pierwszym przypadku jest to trojan „AsyncRAT”, którego kod źródłowy można znaleźć na portalu GitHub. W przypadku tej próbki zostały zmodyfikowane właściwie tylko adresy serwera C&C – na serwery VPN z firmy AirVPN. Trojan umożliwia przesłanie obrazu wyświetlanego na komputerze ofiary oraz pobieranie i uruchamianie kolejnych plików wykonywalnych.

Ransomware ukrywa się pod hiperłączem w pliku PDF zawiadamiającym o konieczności zaktualizowania Adobe Acrobat Reader. Link z dokumentu PDF prowadzi z kolei do pliku AdobeUpdater.Bat, który rozpoczyna cały akompaniament infekcji.

Notka ransomware HiddenTear

W końcowym etapie dochodzi do zaszyfrowania plików przez zmodyfikowaną wersję już zmodyfikowanego ransomware „Hidden Tear”. Wirus zostawia notkę okupu w pliku „ODSZYFRUJ_PLIKI_TERAZ.txt”.

Ransomware Hidden Tear jest znane z tego, że jego kod jest dostępny w serwisie GitHub i każdy kto chce z niego skorzystać, może to zrobić (oczywiście w celach edukacyjnych). Już dawno opracowano dektyptor, dlatego osoby, których pliki zostały zaszyfrowane, proszone są o kontakt pod adres [email protected] albo o wypróbowanie na własną rękę dostępnego narzędzia.

Ransomware to lukratywny biznes, bowiem bez większego wysiłku można stworzyć własny malware lub po prostu skopiować rozwiązania znanych grup cyberprzestępczych. Zresztą ci ostatni robią wszystko, aby panowało powszechne przekonanie, że odzyskiwanie zaszyfrowanych plików jest niemożliwe, a jedynym wyjściem jest zapłacenie okupu. Dlatego większość ofiar tego typu ataków nie szuka innych rozwiązań. Projekty open source typu Hidden Tear / EDA2 otworzyły furtkę słabiej wykwalifikowanym hakerom, którzy tworzą wadliwy ransomware. Taka sytuacja ma swoje zalety, osoby poszkodowane zaczynają sobie zdawać sprawę z niedociągnięć w bezpłatnym kodzie szkodliwego oprogramowania i zaczynają we własnym zakresie szukać sposobów odzyskiwania danych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]