Przestępcy przyzwyczaili nad do tego, że w kampaniach, w których rozprzestrzeniają szkodliwe oprogramowanie podszywają się pod podmioty mające odzwierciedlenie w rejestrze KRS oraz w działalności, którą faktycznie wykonują (na podstawie PKD). Tym razem nie przyłożyli się za bardzo do przygotowania fałszywej wiadomości, która jest najważniejszą częścią ataku.

Oryginalna pisownia:

Temat: Faktura Kancelaria

Treść: W załączniku przesyłam fakturę do złożonego zamówienia.

Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 30.05.2018 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.

Pozdrawiam,

Torbus Urszula

Broagra Sp. z o.o.

Oszustwo kancelaria prawna

W załączonej wiadomości znajduje się spakowany plik Fa_2018333.rar, a w środku kiepska imitacja faktury, która nie posiada nawet ikonki Adobe, tak bardzo rozpoznawalnej wśród nietechnicznych użytkowników.

Uruchomienie pliku Fa_2018333.vbs powoduje wykonanie złośliwego kodu poprzez proces wscript.exe, który komunikuje się z serwerem o adresie IP 172.245.158.165 umiejscowionym w Stanach Zjednoczonych. Dalej w zależności od różnych czynników wirus próbuje tworzyć skrypty powershella i uruchomić je — z kolei te tworzą w %programfiles% plik, który będzie dodany do autostartu. Szkodnik będzie uruchamiał się z każdym włączeniem komputera i w zależności od systemu, komunikował się z serwerem. Finalne szkodliwe oprogramowanie może zawierać najbardziej niebezpieczną postać, czyli trojana bankowego lub backdoora.

Oszust próbuje podszyć się pod firmę Broagra Sp. z o.o. pod pozorem faktury za złożone zamówienie. W temacie „Faktura Kancelaria” próbuje stwarzać wrażenie, że wiadomość została wysłana przez kancelarię prawną - ale z bardzo dziwnego adresu e-mail [email protected]. Pod subdomeną banolli.nazwa.pl ciągle znajdują się zaszłości pozostawione przez administratora strony restauracji Banolli.pl. Pod e-mail tej firmy oszust próbuje się podszyć.

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ady48.rev.netart.pl 77.55.102.48

Spamer do serwera nazwa.pl loguje się z adresu IP:

37.252.9.159

Hash pliku .VBS po wypakowaniu załącznika .RAR:

eaae5a0f17d0fb143186c9659d8adfb4b7d8d142050e286023acd6568fbbf91a

Potencjalne nazwy załączników:

Fa_2018333

Próby podszywania się pod adresy mailowe:

[email protected]

Wszystkim czytelnikom polecamy nasz poradnik zabezpieczania komputerów z systemem Windows. Opisujemy w nim krok po kroku, w jaki sposób chronić się przed złośliwymi załącznikami. Dzięki tym wskazówkom tego rodzaju szkodliwe oprogramowanie nie będzie dla nikogo stanowiło zagrożenia.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

wifil śr., 08-08-2018 - 10:40

dzięki za ten artykuł

Dodaj komentarz