Uniwersytet Warszawski nie wysyła spamu z załącznikami

15 czerwca, 2022
Uiwerstytet Warszawski podszywanie się

Odnotowaliśmy próby podszywania się pod Uniwersytet Warszawski. Rzekomo są to prośby od „administratora” o odesłanie wszystkich cenników z produktami i usługami, jakie się posiada, w drodze składania zapytań ofertowych. Z pewnością nie są to prawdziwe wiadomości. Spróbujemy to wyjaśnić poniżej.

Maile w oryginale wyglądają tak:

Uiwerstytet Warszawski podszywanie się
Próba podszywania się pod administratora Uniwersytetu Warszawskiego.

W oryginale od:

[email protected]

Temat:

ZAPYTANIE OFERTOWE (Uniwersytet Warszawski) ***EU894/PL466***

Treść wiadomości:

Pozdrowienia z Uniwersytetu Warszawskiego,

Uwaga:

Zgodnie z dobrymi rekomendacjami Państwa firmy jesteśmy Uniwersytetem Warszawskim pod przewodnictwem prof. Alojzego Nowaka.
Potrzebujemy Twoich stawek dla naszego budżetu 2022 (w załączeniu). Zobacz nasze zamówienie w załączniku

1) Złóż ofertę najpóźniej do 22 czerwca 2022 r.
2) Prześlij katalog cen w celach informacyjnych, jeśli taki posiadasz.

Jeśli masz jakieś pytania, nie wahaj się ze mną skontaktować.

Dziękuję i pozdrawiam. Admin.

Nagłówki wiadomości, które identyfikują lokalizację i źródło nadawcy:

Received: from artofreality01.chg.com (unknown [184.154.80.106])
Received: from [66.85.157.88] (port=58025 helo=Saltpoxi.club) by stormcrow.awsdns-33.com

W załączniku znajduje się plik „zapytanie o ofertę 15-06-2022.pdf.zip”, który wcale nie wygląda na szkodliwe oprogramowanie, prawda? Z pewnością nikt z Uniwersytetu nie wysłałby załącznika w takiej postaci, w dodatku rozszerzeniem .EXE.

Suma kontrolna ZIP:

7007f38460caa57db7d2b80f2c8236ee1fbbf2446a0d3de16aced48ff212f857

Rozpakowane archiwum zawiera plik EXE:

6d8797aeedac19fee0233b78a594f60ef6d88d76a481b8c057788151869be9f7

Jest to kolejne, samorozpakowujące się archiwum-instalator. Pierwsza detekcja pliku z tą samą sumą kontrolną została zanotowana w grudniu 2021 roku, czyli od tego czasu przestępcy nie zaktualizowali kodu wirusa, za to nieustannie dostosowują treść wiadomości. Zmienia się jedynie nadawca, nagłówek oraz treść.

Szkodliwy załącznik trafia do przypadkowych osób i głównie na adresy firmowe (nie jest to regułą). Najprawdopodobniej sieć kontaktów budowana jest z wycieków baz danych albo publicznych informacji na temat firm i spółek.

Wirus niczym się nie wyróżnia i jest prymitywny w działaniu. Aby zweryfikować aktywne połączenie sieciowe (co jest wymagane do kolejnych czynności) odpytuje zaufane domeny Google, by później wysyłać żądania do swoich serwerów C2 – maszyn przestępców z konfiguracją i instrukcjami dla szkodliwego oprogramowania. W chwili obecnej połączenia są blokowane przez większość programów antywirusowych, a niektóre serwery C2 są po prostu „martwe”, więc nie stwarzają wysokiego zagrożenia.

Zatem rekomendujemy użytkownikom, aby mieli zainstalowane oprogramowanie ochronne na swoich urządzeniach. Bardzo ważna jest edukacja i podnoszenie wiedzy z zakresu ataków socjotechnicznych. Wystarczy wyuczyć się pewnego schematu, aby łatwo rozpoznawać phishing:

  1. Zwróć uwagę na błędy w pisowni i na nietypowy styl mówienia, który jest używany za naszymi wschodnimi granicami.
  1. Sprawdzają nadawcę: imię i nazwisko oraz zajmowane stanowisko. Czasami warto zadzwonić do firmy, szkoły, urzędu, aby się upewnić czy wiadomość faktycznie od nich pochodzi.
  1. Weryfikuj w Google wszystkie numery telefonów, adresy e-mail podawane w stopce oraz imię i nazwisko nadawcy. Mogą być prawdziwe, przy czym wcale to nie oznacza, że ktoś taki wysłał do Ciebie niebezpieczną wiadomość.
  1. Jeżeli nie masz pewności, to zignoruj wiadomość albo zapytaj kogoś, kto może Ci pomóc. Możesz też skontaktować się z nami. Chętnie pomożemy!

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]