SPAM: Nieudana próba podszycia się pod wizerunek ZUS

10 października 2018

Od naszego Czytelnika właśnie dotarła do nas wiadomość e-mail z próbą zainfekowania komputera szkodliwym oprogramowaniem pod pozorem nierozliczonych składek na ZUS. Tak, ktoś wykorzystuje wizerunek państwowej instytucji, która i tak już jest dostatecznie znienawidzona przez przedsiębiorców. Na szczęście rzekome powiadomienie o zaległych składkach nie jest prawdziwe, chociaż może zawierać szkodliwe oprogramowanie.

W tym przypadku nie udało nam się zainfekować systemu operacyjnego. Do tego celu wykorzystujemy specjalną platformę, która pozwala nam zautomatyzować cały proces w bezpiecznym i odizolowanym środowisku. Szczegóły tutaj.

My dokonaliśmy już analizy. Wy nie musicie, ponieważ spam, który możecie otrzymać, może przybrać podobną postać  — autor kampanii może się poprawić, ale nie musi, i zmieni linki do malware, które już mogą zawierać poprawnie działającego wirusa.

Oryginalna wiadomość:

Od: [email protected]
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [[email protected]]
www: [zus.pl]

ZUS spam wiadomość

Identyfikujący nagłówek spamera lub ofiarę z zainfekowanym PC rozsyłającym spam:

Received: from WIN-OQJUIMC71B6 (23.83.133.126) by CO1NAM04FT029.mail.protection.outlook.com (10.152.90.172) with Microsoft SMTP Server id 15.20.1228.17 via Frontend Transport; Wed, 10 Oct 2018 09:23:21

Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0); Wed, 10 Oct 2018 02:23:20 -0700

Po kliknięciu w hiperłącze SKLADKI NA DZIEZ 10.10.2018 ofiara jest przenoszona do strony:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip

Na tej stronie następuje przekierowanie do:

hxxps://www.sendspace.com/file/dzgd8l

Strona zawiera kolejny link do pobrania archiwum ZIP o nazwie „Składki na dzien 2018.10.10.zip”.

ZUS pobieranie spamu

Rozpakowany ZIP bez hasła zawiera plik „Składki na dzien 2018.10.10.doc”, a jego suma kontrolna to:

0f58b5faf9a9a765a06ec644e8ea946a3099f41f3d1d7201ed02ac90a29d3b89

Na pierwszy rzut oka jest to typowy makrowirus, czyli szkodliwe oprogramowanie zaszyte w dokumencie pakietu Office. Zazwyczaj po otworzeniu dokumentu widoczne jest ostrzegawcze okienko przed złośliwą zawartością. W tym przypadku dokument jest nieudaną próbą rozprowadzania szkodliwego oprogramowania. Oprócz „krzaków” plik nie zawiera żadnych poleceń makro:

ZUS spam dokument

Chociaż pobrany plik całkowicie i zupełnie jest nieszkodliwy, to prawdopodobnie już niedługo spamer spróbuje się poprawić i rozesłać w eter linki do poprawionego złośliwego dokumentu.

Nie ma co płakać nad rozlanym mlekiem. Czytelnikom przypominamy, że jeżeli dokument zawierałby polecenia makro, to na 100% uruchamiałby komendy w PowerShell. A przed takim zagrożeniem nie jest trudno się chronić, jeśli dysponuje się odpowiednim oprogramowanym zabezpieczającym, które potrafi monitorować uruchamiane polecenia w systemowych interpreterach. Na znaczeniu nabierają także programy, które detonują nieznane pliki w odizolowanym środowisku (sandbox).

Do skutecznego zabezpieczenia komputerów mocno rekomendujemy zapoznanie się z praktycznymi wskazówkami ochrony przed podobnymi zagrożeniami. Czytelnikom, którzy chcieliby zabezpieczyć komputery bezpłatnym oprogramowaniem antywirusowym, polecamy nasz poradnik rekomendowanym darmowych antywirusów.

Pamiętajcie, że zainfekowany PC lub jedno z urządzeń internetu rzeczy dokładnie w taki sposób może rozsyłać spam. Jako społeczność zrzeszona w Internecie wszyscy razem jak jeden mąż odpowiadamy za bezpieczeństwo innych internautów. Jeżeli macie jakieś pytania odnośnie do ochrony i zabezpieczeń, prosimy o komentarze.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
1 Komentarz
Inline Feedbacks
View all comments
Artur
Artur
1 rok temu

Też dostałem takiego mejla, ale na szczeście zbyt dużo trzeba było zrobić do pobrania wirusa. Od razu wiedziałem, że to jakiś fejk.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ