Trojan bankowy DanaBot w spamie podszywającym się pod „Biuro POL-INVEST”

Czytelnik Konrad podesłał nam kolejną próbkę wiadomości. Nie byłoby w tym nic dziwnego, gdyby nie to, że załączona rzekoma faktura od „Bartosz Wozniak z Biuro POL-INVEST” jest wirusem próbującym pobrać z ukraińskiego serwera trojana bankowego DanaBot.

Oryginalna wiadomość:

Od: Bartosz Wozniak

Treść: Dzień dobry, w załączniku znajduje się faktura. Faktura VAT – sprzedaży nr. 13/05/2018

Z poważaniem, Bartosz Wozniak Biuro POL-INVEST.

Wiadomość zawierająca niebezpieczny załącznik

Załącznik „FV_001762.pdf.exe” po wypakowaniu na pierwszy rzut oka jest plikiem PDF bez ikonki, ale tak naprawdę po zagłębieniu się w szczegóły, zawiera podwójne rozszerzenie i jest plikiem wykonywalnym EXE.

Fałszywy PDF

W tej kampanii po raz kolejny mamy do czynienia z serwerami SMTP nazwa.pl, które są niepoprawnie zabezpieczone — pozwalają spamerom wysyłać złośliwe załączniki w „imieniu” serwera SMTP firmy Nazwa.pl. W tym przypadku oszust wysłał spam z serwera poczty, z którego korzysta firma Comimport sp. z o.o.. Przestępca w wiadomości mailowej podszywa się pod POL-INVEST — takich firm znaleźliśmy kilka, dlatego trudno jednoznacznie ustalić tę docelową.  

Podejrzewamy, że wykorzystany malware w tej kampanii jest powiązany z tą wcześniejszą (albo z dropperem), o której pisaliśmy dwa dni temu. Całkiem prawdopodobne, że ta kampania ma pewne cechy wspólne z podszywaniem się pod Ergo Hestię i biuro rachunkowe „Tomfis”. Malware według nomenklatury antywirusa Eset w obu przypadkach wykrywane jest jako Win32/TrojanDropper.Danabot.C i pojawiło się na komputerach w Polsce, a wcześniej w Australii.

Trojan bankowo Danabot

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ane151.rev.netart.pl ([85.128.213.151]:31061)

Spamer do serwera nazwa.pl loguje się z adresu IP:

80.79.119.232

Hash załącznika .EXE po wypakowaniu .ZIP:

83f6ca98027ddb048133a5b01ca6a110ff1c9d7d2de16152b4670830b4100a1d

Potencjalne nazwy załączników:

FV_001762.zip

Próby podszywania się pod adresy mailowe:

[email protected]

Rekomendujemy Czytelnikom, aby zwrócili szczególną uwagę na załączniki oraz korzystali z renomowanego oprogramowania antywirusowego. Wybór jest trudny, dlatego od wielu lat pomagamy wskazać te najlepsze, czego dowodem są aż 3 testy bezpieczeństwa, które opublikowaliśmy dzisiaj. Zachęcamy do zapoznania się ze szczegółami.



Komentarze

Chic pon., 25-06-2018 - 09:55

Witam, też dostałem podobnego e-maila z załącznikiem :
Witam, W załączniku znajduje się faktura. Faktura VAT - sprzedaży nr. 22/06/2018 Z poważaniem, Bartosz Gus Biuro POL-INVEST. Od razu to usunąłem bez otwierania.

Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej