Po ostatnich doniesieniach przez Zaufaną Trzecią Stronę, w których redakcja opisywała bardzo ciekawy przypadek nowego socjotechnicznego ataku na polskie kancelarie prawnicze m.in. Drzewiecki, Tomaszek i Wspólnicy, w/w oferują 100000 zł nagrody za pomoc w doprowadzeniu osoby lub osób pod stan oskarżenia, które stały za tym atakiem.

W opisywanym poniżej przypadku jest bardzo podobnie, aczkolwiek sytuacja została całkowicie odwrócona. Atak spamerski dotyczy zwykłych osób prawnych, a treść wiadomości wskazuje, że oszuści podszywają się pod nieistniejącą kancelarię adwokacką cms-sawicki.pl i mecenasa Dariusza Sawickiego.

Nadawca: dar.sawicki(malpa)cms-sawicki.pl
Temat: Wezwanie do Sadu, ważne
Treść oryginalna

W zwiazku z brakiem kontaktu ze strony kancelarii przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: wezwanie22
Termin rozprawy otrzymacie poczta.
Pozdrawiam
mec. Dariusz Sawicki
Sawicki i Partnerzy
Sztabowa 11
00-905 Warszawa

W wiadomości załączono plik o podwójnym rozszerzeniu Sygn.akt_IIG_8k_3.PDF.RAR, który po wypakowaniu i podaniu hasła „wezwanie22” zawiera plik wykonywalny również o podwójnym rozszerzeniu Sygn.akt_IIG_8k_3.pdf.scr

W tym miejscu należy się na chwilę zatrzymać i przypomnieć, że Windows domyślnie pokazuje tylko pierwsze rozszerzenie pliku. Aby to zmienić, należy odznaczyć opcję „ukryj rozszerzenia znanych typów plików”.

Według wstępnej analizy pliku na VirusTotal, pierwsze skanowanie pliku Sygn.akt_IIG_8k_3.pdf.scr miało miejsce dzisiaj przed południem, a więc jest to bardzo „świeża” kampania spamerska. Na chwilę obecną, już kilkanaście silników antywirusowych wykrywa to zagrożenie jako Trojan Dropper / Injector co sugeruje, że złośliwe oprogramowanie infekuje system i dodatkowo instaluje / pobiera z sieci kolejne malware, które może przyczynić się do utraty kontroli nad komputerem lub co gorsza, pobrać dużo groźniejszego wirusa i wykonać go automatycznie.

Oczywiście przestrzegamy przed uruchamianiem tego typu załączników. Jeżeli masz pewność, że dana wiadomość Ciebie nie dotyczy, po prostu ją usuń. Natomiast, jeżeli nie masz pewności co do źródła pochodzenia załącznika, poproś nas o pomoc w identyfikacji zagrożenia korzystając z forum AVLab.

AUTOR:

Adrian Ścibor

Podziel się