Trojan bankowy DanaBot w spamie podszywającym się pod „Biuro POL-INVEST”

14 czerwca, 2018

Czytelnik Konrad podesłał nam kolejną próbkę wiadomości. Nie byłoby w tym nic dziwnego, gdyby nie to, że załączona rzekoma faktura od „Bartosz Wozniak z Biuro POL-INVEST” jest wirusem próbującym pobrać z ukraińskiego serwera trojana bankowego DanaBot.

Oryginalna wiadomość:

Od: Bartosz Wozniak

Treść: Dzień dobry, w załączniku znajduje się faktura. Faktura VAT – sprzedaży nr. 13/05/2018

Z poważaniem, Bartosz Wozniak Biuro POL-INVEST.

Wiadomość zawierająca niebezpieczny załącznik

Załącznik „FV_001762.pdf.exe” po wypakowaniu na pierwszy rzut oka jest plikiem PDF bez ikonki, ale tak naprawdę po zagłębieniu się w szczegóły, zawiera podwójne rozszerzenie i jest plikiem wykonywalnym EXE.

Fałszywy PDF

W tej kampanii po raz kolejny mamy do czynienia z serwerami SMTP nazwa.pl, które są niepoprawnie zabezpieczone — pozwalają spamerom wysyłać złośliwe załączniki w „imieniu” serwera SMTP firmy Nazwa.pl. W tym przypadku oszust wysłał spam z serwera poczty, z którego korzysta firma Comimport sp. z o.o.. Przestępca w wiadomości mailowej podszywa się pod POL-INVEST — takich firm znaleźliśmy kilka, dlatego trudno jednoznacznie ustalić tę docelową.  

Podejrzewamy, że wykorzystany malware w tej kampanii jest powiązany z tą wcześniejszą (albo z dropperem), o której pisaliśmy dwa dni temu. Całkiem prawdopodobne, że ta kampania ma pewne cechy wspólne z podszywaniem się pod Ergo Hestię i biuro rachunkowe „Tomfis”. Malware według nomenklatury antywirusa Eset w obu przypadkach wykrywane jest jako Win32/TrojanDropper.Danabot.C i pojawiło się na komputerach w Polsce, a wcześniej w Australii.

Trojan bankowo Danabot

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ane151.rev.netart.pl ([85.128.213.151]:31061)

Spamer do serwera nazwa.pl loguje się z adresu IP:

80.79.119.232

Hash załącznika .EXE po wypakowaniu .ZIP:

83f6ca98027ddb048133a5b01ca6a110ff1c9d7d2de16152b4670830b4100a1d

Potencjalne nazwy załączników:

FV_001762.zip

Próby podszywania się pod adresy mailowe:

[email protected]

Rekomendujemy Czytelnikom, aby zwrócili szczególną uwagę na załączniki oraz korzystali z renomowanego oprogramowania antywirusowego. Wybór jest trudny, dlatego od wielu lat pomagamy wskazać te najlepsze, czego dowodem są aż 3 testy bezpieczeństwa, które opublikowaliśmy dzisiaj. Zachęcamy do zapoznania się ze szczegółami.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
9 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]