EN
EN

Oszustwo na kancelarię prawną, która nie istnieje

1 sierpnia, 2018

Przestępcy przyzwyczaili nad do tego, że w kampaniach, w których rozprzestrzeniają szkodliwe oprogramowanie podszywają się pod podmioty mające odzwierciedlenie w rejestrze KRS oraz w działalności, którą faktycznie wykonują (na podstawie PKD). Tym razem nie przyłożyli się za bardzo do przygotowania fałszywej wiadomości, która jest najważniejszą częścią ataku.

Oryginalna pisownia:

Temat: Faktura Kancelaria

Treść: W załączniku przesyłam fakturę do złożonego zamówienia.

Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 30.05.2018 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.

Pozdrawiam,

Torbus Urszula

Broagra Sp. z o.o.

Oszustwo kancelaria prawna

W załączonej wiadomości znajduje się spakowany plik Fa_2018333.rar, a w środku kiepska imitacja faktury, która nie posiada nawet ikonki Adobe, tak bardzo rozpoznawalnej wśród nietechnicznych użytkowników.

Uruchomienie pliku Fa_2018333.vbs powoduje wykonanie złośliwego kodu poprzez proces wscript.exe, który komunikuje się z serwerem o adresie IP 172.245.158.165 umiejscowionym w Stanach Zjednoczonych. Dalej w zależności od różnych czynników wirus próbuje tworzyć skrypty powershella i uruchomić je — z kolei te tworzą w %programfiles% plik, który będzie dodany do autostartu. Szkodnik będzie uruchamiał się z każdym włączeniem komputera i w zależności od systemu, komunikował się z serwerem. Finalne szkodliwe oprogramowanie może zawierać najbardziej niebezpieczną postać, czyli trojana bankowego lub backdoora.

Oszust próbuje podszyć się pod firmę Broagra Sp. z o.o. pod pozorem faktury za złożone zamówienie. W temacie „Faktura Kancelaria” próbuje stwarzać wrażenie, że wiadomość została wysłana przez kancelarię prawną – ale z bardzo dziwnego adresu e-mail [email protected]. Pod subdomeną banolli.nazwa.pl ciągle znajdują się zaszłości pozostawione przez administratora strony restauracji Banolli.pl. Pod e-mail tej firmy oszust próbuje się podszyć.

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ady48.rev.netart.pl 77.55.102.48

Spamer do serwera nazwa.pl loguje się z adresu IP:

37.252.9.159

Hash pliku .VBS po wypakowaniu załącznika .RAR:

eaae5a0f17d0fb143186c9659d8adfb4b7d8d142050e286023acd6568fbbf91a

Potencjalne nazwy załączników:

Fa_2018333

Próby podszywania się pod adresy mailowe:

[email protected]

Wszystkim czytelnikom polecamy nasz poradnik zabezpieczania komputerów z systemem Windows. Opisujemy w nim krok po kroku, w jaki sposób chronić się przed złośliwymi załącznikami. Dzięki tym wskazówkom tego rodzaju szkodliwe oprogramowanie nie będzie dla nikogo stanowiło zagrożenia.

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
polecane rozwiązania

Polecane rozwiązania

Nie musisz już szukać dobrych ofert! Znaleźliśmy je dla Ciebie!
oferty
specjalne
newsletter poradnik

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

tak! Chcę poradnik
ARTYKUŁY

Treść serwisu prawnie chroniona © 2024 | Fundacja AVLab dla Cyberbezpieczeństwa | Polityka prywatności

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]

najnowsze artykuły

Ze świata cyber

testy bezpieczeństwa

produkty ochronne

informacje o atakach

wydarzenia online

statystyki i raporty

od redakcji

polecane rozwiązania

wszyscy producenci