Z adresu e-mail windykacje@zatokaprawna.pl przestępcy internetowi próbują wyłudzić od swoich przypadkowych adresatów nawet 1200zł pod pozorem niezapłaconej faktury za zamówioną usługę.
Domena ZatokaPrawna.pl została zarejestrowana 24 listopada, dzień później już dotarły do nas informacje o możliwych próbach wyłudzenia. Z tego miejsca dziękujemy naszym czytelnikom za podzielenie się „próbką” spamu, dzięki której możemy ostrzec i dotrzeć do zdecydowanie większej ilości polskich użytkowników „internetów”.
A oto oryginalna wiadomość:
Zwolak i Wspólnicy Kancelaria Prawna <windykacje@zatokaprawna.pl>:
Szanowni Państwo,
zgodnie z zaakceptowanymi przez Państwo warunkami umowy dotyczącej naszych usług zobowiązali się Państwo do opłacenia zamówionej usługi w terminie 7 dni od dnia zawarcia umowy. Z uwagi na to, że dotychczas nie odnotowaliśmy wpłaty, doręczamy niniejsze wezwanie do zapłaty.
Jednocześnie informujemy, iż dalszy brak zapłaty za zamówioną usługę spowoduje konsekwencje prawne co wiąże się z dodatkowymi kosztami. W stosunku do osób uchylających się od zapłaty możliwe jest przekazanie sprawy zewnętrznej firmie prawno-windykacyjnej lub natychmiastowe postępowanie sądowe i egzekucja komornicza należności.
Niniejszym prosimy o dobrowolne uregulowanie należności w kwocie 1,200 zł w nieprzekraczalnym terminie 5 dni od momentu otrzymania niniejszej wiadomości. W załączniku przesyłam zaległą fakturę VAT.
Faktura jest zabezpieczona hasłem: wezwanie7321
—
Artur Kamiński
specjalista ds. windykacji klienta biznesowego
Zwolak i Wspólnicy Kancelaria Prawna
Al. Jana Pawła II 12
00-124 Warszawa”
W załączniku znajduje się plik z rozszerzeniem RAR o nazwie „wezwanie-7321”, a w środku plik wykonywalny „wezwanie-7321” o rozszerzeniu PIF (Program Information File), który nie jest wyświetlany przez system Windows, nawet po wyłączeniu opcji „ukryj rozszerzenie znanych typów plików”.
Na obecna chwilę tylko 3 programy antywirusowe wykrywają to zagrożenie.
Trojan po uruchomieniu tworzy swoje dwa pliki w lokalizacjach […]:
- C:\Documents and Settings\<USER>\Application Data\adsnhelp\ctl3put8.exe
- C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\4D48\1.bat
[…] oraz próbuje połączyć się z serwerem C&C w domenie agreylux.com.
Jak zwykle w takich przypadkach zalecamy szczególną ostrożność i dokładnie czytanie i analizowanie podejrzanych wiadomości.
- Próbkę podesłał „ankieter”. Dzięki 🙂
- Przypominamy, że wszelkie podejrzane wiadomości możecie do nas słać na adres malware@avlab.pl
