I to na pierwszy rzut oka całkiem poprawnie. Ile w Polsce mamy takich osób, które akurat oczekują dostawy towaru do rąk własnych od pracownika firmy kurierskiej UPS? Z pewnością setki, jeśli nie tysiące. To właśnie oni są najbardziej narażeni na tę próbę ataku.

Do naszej redakcyjnej skrzynki trafiają wiadomości z prośbą o sprawdzenie bezpieczeństwa e-maili, które różnią się od siebie tylko numerem zamówienia. Cała reszta, a więc: adres IP, z którego został wysłany spam, treść wiadomości, załącznik i strona do pobrania rzekomej faktury są identyczne.

E-mail (zachowano pisownię oryginalną):

Od: "UPS Express, 642" <info(at)ups-ort.com>

Do: <kontakt(at)avlab.pl>

Temat: Informacja o twoim zamówieniu, 99384772

Treść: Informacja,

przesyłamy fakturę numer F/73525234/03/17 wystawioną 23.03.2017. Dokument znajduje się w załączniku, a poniżej prezentujemy jego podsumowanie.

Numer przesyłki: EE943326861PL

Prosimy o wpłatę: 415,25 zł

*e-faktura jest w formacie PDF i mozna ja otworzyc za pomoca programu Adobe Acrobat Reader, Firefox, Chrome

Dziekujemy za korzystanie z naszych uslug.

UPS Express.

Wiadomość z załącznikiem.
Plik PDF zawiera hiperłącze, które przenosi ofiarę do strony WWW.
Strona, na której dochodzi do pobrania pliku EXE.

Szczegóły techniczne

Próba zainfekowania komputera ofiary podzielona jest na kilka etapów:

  • Wiadomość wysyłana jest z adresu IP 212.109.192.201 na terenie Federacji Rosyjskiej.
  • Spam zawiera załącznik PDF o nazwie "faktura_dbccb780517525c4cb40a6045d20ac851.pdg.exe", który ma podwójne rozszerzenie. Domyślnie w systemie Windows, drugie rozszerzenie plików jest ukrywane. Ten trik powszechnie znają wszyscy badacze bezpieczeństwa oraz oszuści, stąd też np. w systemie Windows 10 (na domyślnych ustawieniach) plik będzie widziany jako "nazwa_pliku.pdg".
  • Załączony PDF nie jest szkodliwy, ale zawiera adres URL, który przekierowuje ofiarę do strony internetowej, na której umieszczono podróbkę CAPTCHA oraz button „pobierz faktura”.
  • Ze strony umiejscowionej na serwerze w Rosji (IP: 37.46.131.79) pobierany jest podwójnie spakowany plik EXE:
    • SHA256: 5a880267a123e867bab07c5ea7576da45ba2cffb8d792caf2083bfe334fa4756
    • Współczynnik wykrywalności VT 23/61

Docelowy złośliwy plik wyposażony jest w funkcje, które pozwalają mu wykryć: zainstalowane oprogramowanie antywirusowe, język systemu operacyjnego, uruchomiony menadżer procesów oraz inne aktywne okna (np. narzędzia do analizy malware). Jego zadaniem jest zainstalowanie się w systemie oraz pobranie innego złośliwego oprogramowania. Jest to więc wirus typu downloader.

Zagrożenia nie należy bagatelizować. Nasi czytelnicy z pewnością nas czas rozpoznają próby (nie)skutecznej socjotechniki. O tym incydencie powinni powiadomić mniej doświadczonych technicznie użytkowników internetu, którzy naprawdę mogą oczekiwać na przesyłkę od UPS. Dla nich wiadomość o niezapłaconej fakturze od firmy UPS może być bardzo wiarygodna.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

specek wt., 28-03-2017 - 22:38

Teraz jest nawet gorzej, detekcja spadła do 10/63

Jest kilka ciekawych rzeczy na tym serwerze: hxxp://37.46.131.79/ups/express/files/
Widac ze autor probuje jak naszybiej maskowac virusa.

Adrian Ścibor śr., 29-03-2017 - 08:25

@#1 Nic ciekawego, jedno i to samo zagrożenie pod różnymi nazwami, dla niepoznaki. Ale jest jeszcze plik counter.log, który zlicza ilość kliknięć w link w PDF (hxxp://37.46.131.79/ups/express/track.php?id=3571966cc7ba676c391c44698077de5c). Na razie jest 600.