Odnotowaliśmy próby podszywania się pod Uniwersytet Warszawski. Rzekomo są to prośby od „administratora” o odesłanie wszystkich cenników z produktami i usługami, jakie się posiada, w drodze składania zapytań ofertowych. Z pewnością nie są to prawdziwe wiadomości. Spróbujemy to wyjaśnić poniżej.
Maile w oryginale wyglądają tak:
W oryginale od:
[email protected]
Temat:
ZAPYTANIE OFERTOWE (Uniwersytet Warszawski) ***EU894/PL466***
Treść wiadomości:
Pozdrowienia z Uniwersytetu Warszawskiego,
Uwaga:
Zgodnie z dobrymi rekomendacjami Państwa firmy jesteśmy Uniwersytetem Warszawskim pod przewodnictwem prof. Alojzego Nowaka.
Potrzebujemy Twoich stawek dla naszego budżetu 2022 (w załączeniu). Zobacz nasze zamówienie w załączniku
1) Złóż ofertę najpóźniej do 22 czerwca 2022 r.
2) Prześlij katalog cen w celach informacyjnych, jeśli taki posiadasz.
Jeśli masz jakieś pytania, nie wahaj się ze mną skontaktować.
Dziękuję i pozdrawiam. Admin.
Nagłówki wiadomości, które identyfikują lokalizację i źródło nadawcy:
Received: from artofreality01.chg.com (unknown [184.154.80.106])
Received: from [66.85.157.88] (port=58025 helo=Saltpoxi.club) by stormcrow.awsdns-33.com
W załączniku znajduje się plik „zapytanie o ofertę 15-06-2022.pdf.zip”, który wcale nie wygląda na szkodliwe oprogramowanie, prawda? Z pewnością nikt z Uniwersytetu nie wysłałby załącznika w takiej postaci, w dodatku rozszerzeniem .EXE.
Suma kontrolna ZIP:
7007f38460caa57db7d2b80f2c8236ee1fbbf2446a0d3de16aced48ff212f857
Rozpakowane archiwum zawiera plik EXE:
6d8797aeedac19fee0233b78a594f60ef6d88d76a481b8c057788151869be9f7
Jest to kolejne, samorozpakowujące się archiwum-instalator. Pierwsza detekcja pliku z tą samą sumą kontrolną została zanotowana w grudniu 2021 roku, czyli od tego czasu przestępcy nie zaktualizowali kodu wirusa, za to nieustannie dostosowują treść wiadomości. Zmienia się jedynie nadawca, nagłówek oraz treść.
Szkodliwy załącznik trafia do przypadkowych osób i głównie na adresy firmowe (nie jest to regułą). Najprawdopodobniej sieć kontaktów budowana jest z wycieków baz danych albo publicznych informacji na temat firm i spółek.
Wirus niczym się nie wyróżnia i jest prymitywny w działaniu. Aby zweryfikować aktywne połączenie sieciowe (co jest wymagane do kolejnych czynności) odpytuje zaufane domeny Google, by później wysyłać żądania do swoich serwerów C2 – maszyn przestępców z konfiguracją i instrukcjami dla szkodliwego oprogramowania. W chwili obecnej połączenia są blokowane przez większość programów antywirusowych, a niektóre serwery C2 są po prostu „martwe”, więc nie stwarzają wysokiego zagrożenia.
Zatem rekomendujemy użytkownikom, aby mieli zainstalowane oprogramowanie ochronne na swoich urządzeniach. Bardzo ważna jest edukacja i podnoszenie wiedzy z zakresu ataków socjotechnicznych. Wystarczy wyuczyć się pewnego schematu, aby łatwo rozpoznawać phishing:
- Zwróć uwagę na błędy w pisowni i na nietypowy styl mówienia, który jest używany za naszymi wschodnimi granicami.
- Sprawdzają nadawcę: imię i nazwisko oraz zajmowane stanowisko. Czasami warto zadzwonić do firmy, szkoły, urzędu, aby się upewnić czy wiadomość faktycznie od nich pochodzi.
- Weryfikuj w Google wszystkie numery telefonów, adresy e-mail podawane w stopce oraz imię i nazwisko nadawcy. Mogą być prawdziwe, przy czym wcale to nie oznacza, że ktoś taki wysłał do Ciebie niebezpieczną wiadomość.
- Jeżeli nie masz pewności, to zignoruj wiadomość albo zapytaj kogoś, kto może Ci pomóc. Możesz też skontaktować się z nami. Chętnie pomożemy!
