Od naszego Czytelnika właśnie dotarła do nas wiadomość e-mail z próbą zainfekowania komputera szkodliwym oprogramowaniem pod pozorem nierozliczonych składek na ZUS. Tak, ktoś wykorzystuje wizerunek państwowej instytucji, która i tak już jest dostatecznie znienawidzona przez przedsiębiorców. Na szczęście rzekome powiadomienie o zaległych składkach nie jest prawdziwe, chociaż może zawierać szkodliwe oprogramowanie.

W tym przypadku nie udało nam się zainfekować systemu operacyjnego. Do tego celu wykorzystujemy specjalną platformę, która pozwala nam zautomatyzować cały proces w bezpiecznym i odizolowanym środowisku. Szczegóły tutaj.

My dokonaliśmy już analizy. Wy nie musicie, ponieważ spam, który możecie otrzymać, może przybrać podobną postać  — autor kampanii może się poprawić, ale nie musi, i zmieni linki do malware, które już mogą zawierać poprawnie działającego wirusa.

Oryginalna wiadomość:

Od: [email protected]
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [[email protected]]
www: [zus.pl]

ZUS spam wiadomość
To tylko na szczęście nieudana próba rozprzestrzeniania szkodliwego pliku.

Identyfikujący nagłówek spamera lub ofiarę z zainfekowanym PC rozsyłającym spam:

Received: from WIN-OQJUIMC71B6 (23.83.133.126) by CO1NAM04FT029.mail.protection.outlook.com (10.152.90.172) with Microsoft SMTP Server id 15.20.1228.17 via Frontend Transport; Wed, 10 Oct 2018 09:23:21

Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0); Wed, 10 Oct 2018 02:23:20 -0700

Po kliknięciu w hiperłącze SKLADKI NA DZIEZ 10.10.2018 ofiara jest przenoszona do strony:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip

Na tej stronie następuje przekierowanie do:

hxxps://www.sendspace.com/file/dzgd8l

Strona zawiera kolejny link do pobrania archiwum ZIP o nazwie „Składki na dzien 2018.10.10.zip”.

ZUS pobieranie spamu
Strona hostująca pliki zawierała link do pobrania archiwum ZIP z dokumentem DOC.

Rozpakowany ZIP bez hasła zawiera plik „Składki na dzien 2018.10.10.doc”, a jego suma kontrolna to:

0f58b5faf9a9a765a06ec644e8ea946a3099f41f3d1d7201ed02ac90a29d3b89

Na pierwszy rzut oka jest to typowy makrowirus, czyli szkodliwe oprogramowanie zaszyte w dokumencie pakietu Office. Zazwyczaj po otworzeniu dokumentu widoczne jest ostrzegawcze okienko przed złośliwą zawartością. W tym przypadku dokument jest nieudaną próbą rozprowadzania szkodliwego oprogramowania. Oprócz „krzaków” plik nie zawiera żadnych poleceń makro:

ZUS spam dokument
Niepoprawnie przygotowany makrowirus.

Chociaż pobrany plik całkowicie i zupełnie jest nieszkodliwy, to prawdopodobnie już niedługo spamer spróbuje się poprawić i rozesłać w eter linki do poprawionego złośliwego dokumentu.

Nie ma co płakać nad rozlanym mlekiem. Czytelnikom przypominamy, że jeżeli dokument zawierałby polecenia makro, to na 100% uruchamiałby komendy w PowerShell. A przed takim zagrożeniem nie jest trudno się chronić, jeśli dysponuje się odpowiednim oprogramowanym zabezpieczającym, które potrafi monitorować uruchamiane polecenia w systemowych interpreterach. Na znaczeniu nabierają także programy, które detonują nieznane pliki w odizolowanym środowisku (sandbox).

Do skutecznego zabezpieczenia komputerów mocno rekomendujemy zapoznanie się z praktycznymi wskazówkami ochrony przed podobnymi zagrożeniami. Czytelnikom, którzy chcieliby zabezpieczyć komputery bezpłatnym oprogramowaniem antywirusowym, polecamy nasz poradnik rekomendowanym darmowych antywirusów.

Pamiętajcie, że zainfekowany PC lub jedno z urządzeń internetu rzeczy dokładnie w taki sposób może rozsyłać spam. Jako społeczność zrzeszona w Internecie wszyscy razem jak jeden mąż odpowiadamy za bezpieczeństwo innych internautów. Jeżeli macie jakieś pytania odnośnie do ochrony i zabezpieczeń, prosimy o komentarze.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Artur czw., 11-10-2018 - 13:15

Też dostałem takiego mejla, ale na szczeście zbyt dużo trzeba było zrobić do pobrania wirusa. Od razu wiedziałem, że to jakiś fejk.

Dodaj komentarz