Kampania ze spamem na InPost może ukrywać ransomware

12 grudnia 2018

Zaledwie wczoraj informowaliśmy o oszukańczej kampanii podszywającej się pod DHL Express. Przestępcy nie mają kalendarza rozsyłania spamu, ale ich aktywność zauważa się w związku z dużymi imprezami masowymi, weekendami lub zbliżającymi się świętami, kiedy Polacy chorują na zakupową gorączkę. Prawdopodobnie z tego powodu mamy do czynienia z bardzo podobnym przypadkiem, ale teraz kampania ze spamem dotyczy przewoźnika InPost, o czym poinformował CERT Polska.

InPost spam

Oryginalna wiadomość:

Od: 
Inpost Polska [email protected]

Temat: 
Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.

Treść: 
Odbierz swoją paczke w paczkomace InPost.
Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.

Dane zlecenia:

- przesyłka numer:
090522-2018

- data założenia zlecenia:
Czwartek, 06 Grudzień

- typ przesyłki: 
gotówkowa (ubezpieczona)

Adres paczkomatu odbioru przesyłki, jak i kod znajdziesz TUTAJ.

Od razu dostrzegamy, że wiadomość została wysłana do wielu (widać to po użytym polu BCC, gdzie są ukryci adresaci). W hiperłączu pod wyrazem TUTAJ znajduje się adres URL do strony w domenie szybkiplik.pl. W zależności od wariantu może się tam ukrywać:

Trojan:

InPost24_-_Dane_odbioru_paczki.doc.lnk, SHA256: 4a3d55070214dcd6f646fd347a523cdcb61820c74902417720478131d382984d

word.info.file.doc, SHA256: 20ce81e489337e6ae90c831945fcb4f493d2e2c117778b77ae62a5b4311c94bb

Albo ransomware:

bf4f76802ece7ec698fbe8328fd3cc3a.pdf, SHA256: 6c2b1c128608164c49166cd9449d13796a02eacdeba06978dbb3447b0d252926

W pierwszym przypadku jest to trojan „AsyncRAT”, którego kod źródłowy można znaleźć na portalu GitHub. W przypadku tej próbki zostały zmodyfikowane właściwie tylko adresy serwera C&C – na serwery VPN z firmy AirVPN. Trojan umożliwia przesłanie obrazu wyświetlanego na komputerze ofiary oraz pobieranie i uruchamianie kolejnych plików wykonywalnych.

Ransomware ukrywa się pod hiperłączem w pliku PDF zawiadamiającym o konieczności zaktualizowania Adobe Acrobat Reader. Link z dokumentu PDF prowadzi z kolei do pliku AdobeUpdater.Bat, który rozpoczyna cały akompaniament infekcji.

Notka ransomware HiddenTear

W końcowym etapie dochodzi do zaszyfrowania plików przez zmodyfikowaną wersję już zmodyfikowanego ransomware „Hidden Tear”. Wirus zostawia notkę okupu w pliku „ODSZYFRUJ_PLIKI_TERAZ.txt”.

Ransomware Hidden Tear jest znane z tego, że jego kod jest dostępny w serwisie GitHub i każdy kto chce z niego skorzystać, może to zrobić (oczywiście w celach edukacyjnych). Już dawno opracowano dektyptor, dlatego osoby, których pliki zostały zaszyfrowane, proszone są o kontakt pod adres [email protected] albo o wypróbowanie na własną rękę dostępnego narzędzia.

Ransomware to lukratywny biznes, bowiem bez większego wysiłku można stworzyć własny malware lub po prostu skopiować rozwiązania znanych grup cyberprzestępczych. Zresztą ci ostatni robią wszystko, aby panowało powszechne przekonanie, że odzyskiwanie zaszyfrowanych plików jest niemożliwe, a jedynym wyjściem jest zapłacenie okupu. Dlatego większość ofiar tego typu ataków nie szuka innych rozwiązań. Projekty open source typu Hidden Tear / EDA2 otworzyły furtkę słabiej wykwalifikowanym hakerom, którzy tworzą wadliwy ransomware. Taka sytuacja ma swoje zalety, osoby poszkodowane zaczynają sobie zdawać sprawę z niedociągnięć w bezpłatnym kodzie szkodliwego oprogramowania i zaczynają we własnym zakresie szukać sposobów odzyskiwania danych.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone