Czytelnik Konrad podesłał nam kolejną próbkę wiadomości. Nie byłoby w tym nic dziwnego, gdyby nie to, że załączona rzekoma faktura od „Bartosz Wozniak z Biuro POL-INVEST” jest wirusem próbującym pobrać z ukraińskiego serwera trojana bankowego DanaBot.

Oryginalna wiadomość:

Od: Bartosz Wozniak

Treść: Dzień dobry, w załączniku znajduje się faktura. Faktura VAT – sprzedaży nr. 13/05/2018

Z poważaniem, Bartosz Wozniak Biuro POL-INVEST.

Wiadomość zawierająca niebezpieczny załącznik

Załącznik „FV_001762.pdf.exe” po wypakowaniu na pierwszy rzut oka jest plikiem PDF bez ikonki, ale tak naprawdę po zagłębieniu się w szczegóły, zawiera podwójne rozszerzenie i jest plikiem wykonywalnym EXE.

Fałszywy PDF

W tej kampanii po raz kolejny mamy do czynienia z serwerami SMTP nazwa.pl, które są niepoprawnie zabezpieczone — pozwalają spamerom wysyłać złośliwe załączniki w „imieniu” serwera SMTP firmy Nazwa.pl. W tym przypadku oszust wysłał spam z serwera poczty, z którego korzysta firma Comimport sp. z o.o.. Przestępca w wiadomości mailowej podszywa się pod POL-INVEST — takich firm znaleźliśmy kilka, dlatego trudno jednoznacznie ustalić tę docelową.  

Podejrzewamy, że wykorzystany malware w tej kampanii jest powiązany z tą wcześniejszą (albo z dropperem), o której pisaliśmy dwa dni temu. Całkiem prawdopodobne, że ta kampania ma pewne cechy wspólne z podszywaniem się pod Ergo Hestię i biuro rachunkowe „Tomfis”. Malware według nomenklatury antywirusa Eset w obu przypadkach wykrywane jest jako Win32/TrojanDropper.Danabot.C i pojawiło się na komputerach w Polsce, a wcześniej w Australii.

Trojan bankowo Danabot

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ane151.rev.netart.pl ([85.128.213.151]:31061)

Spamer do serwera nazwa.pl loguje się z adresu IP:

80.79.119.232

Hash załącznika .EXE po wypakowaniu .ZIP:

83f6ca98027ddb048133a5b01ca6a110ff1c9d7d2de16152b4670830b4100a1d

Potencjalne nazwy załączników:

FV_001762.zip

Próby podszywania się pod adresy mailowe:

[email protected]

Rekomendujemy Czytelnikom, aby zwrócili szczególną uwagę na załączniki oraz korzystali z renomowanego oprogramowania antywirusowego. Wybór jest trudny, dlatego od wielu lat pomagamy wskazać te najlepsze, czego dowodem są aż 3 testy bezpieczeństwa, które opublikowaliśmy dzisiaj. Zachęcamy do zapoznania się ze szczegółami.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Chic pon., 25-06-2018 - 09:55

Witam, też dostałem podobnego e-maila z załącznikiem :
Witam, W załączniku znajduje się faktura. Faktura VAT - sprzedaży nr. 22/06/2018 Z poważaniem, Bartosz Gus Biuro POL-INVEST. Od razu to usunąłem bez otwierania.

Edyta pt., 05-10-2018 - 21:30

A ja otworzylam. Co teraz??? Prosze o pomoc!!!

Adrian Ścibor sob., 06-10-2018 - 08:44

Najlepiej sformatować dyski zachowując kopie ważnych plików. Możesz też poprosić o pomoc na jakimś forum i już teraz zainstalować skaner Arcabit Scanner Online lub Kaspersky Removal Tool i przeskanowac wszystkie dyski. I nie logować się nigdzie do czasu usunięcia wirusa.

Dodane przez Edyta w odpowiedzi na

Iza czw., 11-10-2018 - 09:35

Witam,

Ja również otrzymałam takiego maila Bartosz Gus <[email protected]> Faktura VAT - sprzedazy nr. 225/06/2018 Z powazaniem,
Bartosz Gus
Biuro POL-INVEST

Nie rozpakowałam załącznika

Łukasz czw., 11-10-2018 - 10:17

Również otrzymałem identycznego maila. UWAGA !

piotrków trybunalski czw., 11-10-2018 - 17:03

Również dostałąm tego maila.
11 paź 2018 02:59 (14 godzin temu)
Od: Bartosz Gus
Do:
mnie [email protected]
Temat: Faktura VAT - sprzedazy nr. 225/06/2018

Witam,

W zalaczniku znajduje sie faktura.
Faktura VAT - sprzedazy nr. 25/06/2018

Z powazaniem,
Bartosz Gus
Biuro POL-INVEST

1 załącznik
RAR
faktura_111018_00779732.rar
1.2 KB
zapisz | pokaż

Maria wt., 16-10-2018 - 08:24

Dziś odebrałam talki sam mail. Jestem już na nie wyczulona, bo co jakiś czas dostaje podobne. Dobrze, ze swoich kontrahentów znam na pamięć:-)

Hydro-instal wt., 16-10-2018 - 16:51

Także dostałem taka wiadomość ciekawostką. Próbując na nią odpowiedzieć jako nadawca pokazało mi się adres mailowy [email protected] będąc dociekliwy faktycznie taki adres mailowy funkcjonuje i należy do szkółki piłkarskiej i nazwie akademia falubaz z zielonej gory

Stic wt., 16-10-2018 - 21:37

A ja wyłączam proces z powodu RODO..I gdzieś mam ...że to nie ta firma...że ktoś się podstawą....itp...itd...

Dodaj komentarz