SPAM: Nieudana próba podszycia się pod wizerunek ZUS

10 października, 2018
ZUS spam

Od naszego Czytelnika właśnie dotarła do nas wiadomość e-mail z próbą zainfekowania komputera szkodliwym oprogramowaniem pod pozorem nierozliczonych składek na ZUS. Tak, ktoś wykorzystuje wizerunek państwowej instytucji, która i tak już jest dostatecznie znienawidzona przez przedsiębiorców. Na szczęście rzekome powiadomienie o zaległych składkach nie jest prawdziwe, chociaż może zawierać szkodliwe oprogramowanie.

W tym przypadku nie udało nam się zainfekować systemu operacyjnego. Do tego celu wykorzystujemy specjalną platformę, która pozwala nam zautomatyzować cały proces w bezpiecznym i odizolowanym środowisku. Szczegóły tutaj.

My dokonaliśmy już analizy. Wy nie musicie, ponieważ spam, który możecie otrzymać, może przybrać podobną postać  — autor kampanii może się poprawić, ale nie musi, i zmieni linki do malware, które już mogą zawierać poprawnie działającego wirusa.

Oryginalna wiadomość:

Od: [email protected]
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [[email protected]]
www: [zus.pl]

ZUS spam wiadomość

Identyfikujący nagłówek spamera lub ofiarę z zainfekowanym PC rozsyłającym spam:

Received: from WIN-OQJUIMC71B6 (23.83.133.126) by CO1NAM04FT029.mail.protection.outlook.com (10.152.90.172) with Microsoft SMTP Server id 15.20.1228.17 via Frontend Transport; Wed, 10 Oct 2018 09:23:21

Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0); Wed, 10 Oct 2018 02:23:20 -0700

Po kliknięciu w hiperłącze SKLADKI NA DZIEZ 10.10.2018 ofiara jest przenoszona do strony:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip

Na tej stronie następuje przekierowanie do:

hxxps://www.sendspace.com/file/dzgd8l

Strona zawiera kolejny link do pobrania archiwum ZIP o nazwie „Składki na dzien 2018.10.10.zip”.

ZUS pobieranie spamu

Rozpakowany ZIP bez hasła zawiera plik „Składki na dzien 2018.10.10.doc”, a jego suma kontrolna to:

0f58b5faf9a9a765a06ec644e8ea946a3099f41f3d1d7201ed02ac90a29d3b89

Na pierwszy rzut oka jest to typowy makrowirus, czyli szkodliwe oprogramowanie zaszyte w dokumencie pakietu Office. Zazwyczaj po otworzeniu dokumentu widoczne jest ostrzegawcze okienko przed złośliwą zawartością. W tym przypadku dokument jest nieudaną próbą rozprowadzania szkodliwego oprogramowania. Oprócz „krzaków” plik nie zawiera żadnych poleceń makro:

ZUS spam dokument

Chociaż pobrany plik całkowicie i zupełnie jest nieszkodliwy, to prawdopodobnie już niedługo spamer spróbuje się poprawić i rozesłać w eter linki do poprawionego złośliwego dokumentu.

Nie ma co płakać nad rozlanym mlekiem. Czytelnikom przypominamy, że jeżeli dokument zawierałby polecenia makro, to na 100% uruchamiałby komendy w PowerShell. A przed takim zagrożeniem nie jest trudno się chronić, jeśli dysponuje się odpowiednim oprogramowanym zabezpieczającym, które potrafi monitorować uruchamiane polecenia w systemowych interpreterach. Na znaczeniu nabierają także programy, które detonują nieznane pliki w odizolowanym środowisku (sandbox).

Do skutecznego zabezpieczenia komputerów mocno rekomendujemy zapoznanie się z praktycznymi wskazówkami ochrony przed podobnymi zagrożeniami. Czytelnikom, którzy chcieliby zabezpieczyć komputery bezpłatnym oprogramowaniem antywirusowym, polecamy nasz poradnik rekomendowanym darmowych antywirusów.

Pamiętajcie, że zainfekowany PC lub jedno z urządzeń internetu rzeczy dokładnie w taki sposób może rozsyłać spam. Jako społeczność zrzeszona w Internecie wszyscy razem jak jeden mąż odpowiadamy za bezpieczeństwo innych internautów. Jeżeli macie jakieś pytania odnośnie do ochrony i zabezpieczeń, prosimy o komentarze.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]