18:53
18/6/2018

Myśleliśmy, że po aresztowaniu Armaged0na liczba ataków skierowanych w Polaków spadnie. Okazuje się jednak, że ktoś godnie Tomka zastępuje. Oto ciekawa próba ataku, jaką tuż przed weekendem zostali potraktowani Polacy.

Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu

Ofiary otrzymały e-maila o takiej treści:

From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.

Tytułem : NR 0013210/18 – Przelew Krajowy.
Typ : Z potwierdzeniem email na odbiorcę.

W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Zobacz potwierdzenie.

Potwierdzenie dostępne również w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim “Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat “Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.

Pozdrawiamy
Zespół Mbank.

Wiadomość wygenerowana automatycznie przez system Mbank24.pl. Nie odpowiadaj na te wiadomość. W celu uzyskania informacji prosimy o wysłanie nowego emaila pod adres :kontakt@mbank24.pl

A oto dodatkowe nagłówki e-maila:

Return-Path: mbank24@zoho.eu
Received: from [213.152.161.249] by mail.zoho.eu with HTTP;Fri, 15 Jun 2018 23:05:40 +0200 (CEST)
From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu
X-Priority: Medium
User-Agent: Zoho Mail
X-Mailer: Zoho Mail
X-Zoho-Virus-Status: 1

Link do potwierdzenia kierował pod adres:

http://wrzucacz[.]pl/download/1211529084686

i automatycznie pobierał na komputer ofiary złośliwe oprogramowanie. Ten sam link znajdował się także w załączonym PDF-ie, który wyglądał tak:

Zainfekuj się, bo RODO!

Szczególnie ubawiło nas to zdanie z e-maila:

Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.

Choć treść e-maila jest całkiem składa, to ten numer o RODO powinien dać do myślenia, podobnie jak i użycie niepoprawnych domen oraz “wrzucacza” do propagacji złośliwego oprogramowania. Nie wątpimy jednak, że kilka osób kliknęło i się zainfekowało…

Atak ukierunkowany czy nieudany?

Ostrzeżenia przed tym e-mailem nie znajdziecie jeszcze w zakładce Bezpieczeństwo mBanku, co może oznaczać, że ataki były bardzo wąskie. Nam ten malspam zgłosiła tylko 1 osoba. Dlatego, jeśli ktoś z Was też otrzymał tę wiadomość i znajdował się w niej inny URL lub udało mu się pobrać droppera, prosimy o kontakt.

Dziękujemy Jakubowi, który podesłał nam tę wiadomość

Przeczytaj także:

9 komentarzy

Dodaj komentarz
  1. Serio? Mbank? system Mbank24? :-D

  2. Nie no, nie mogę :D

  3. “Bmank” ^_^

  4. Bym się zaśmiał ale w autobusie nie wypada. I ten duży napis na niebiesko SPRAWDŹ POTWIERDZENIE PRZELEWU, i całkowicie pusta strona.

  5. “automatycznie pobierał na komputer ofiary złośliwe oprogramowanie”
    Pobrał, no i co z tego? Trzeba to jeszcze uruchomić.

  6. Problem dzisiejszego społeczeństwa polega na braku wiedzy o RODO – wszyscy wiemy, że jest ale zaledwie 1/3 społeczeństwa wie o co w tym RODO chodzi i się łapie na takie głupoty jak certyfikaty RODO.

    Analogowi przestępcy łowią “na wnuczka” i “na policjanta”.. cyfrowi zaś “na RODO” :)

    • A co się dziwić, skoro dziennikarze rozpętali w mediach widmo kar finansowych. Ciekawe kto im takich scenariuszy dostarczył? Moim zdaniem warto odszukać najwcześniejsze artykuły o RODO i karach w nim zawartych, a łatwo się ustali komu internauci zawdzięczają metodę “na RODO” :-)

  7. “Myśleliśmy, że po aresztowaniu Armaged0na liczba ataków skierowanych w Polaków spadnie.” – serio ? tacy naiwni jesteście ? natura nie znosi próżni i aresztowanie jednego oszołoma niewiele zmienia, zaraz znajdą się naśladowcy chętni na “łatwą kasę”.
    Więc nie należy zabezpieczać się przed jakimś jednym oszołomem tylko ogólnie przed wszystkimi.

  8. Obecnie jest jakaś “posucha” z bardziej kreatywnymi “fakturami” oraz “wezwaniami do zapłaty”.

    Jak zawsze na firmową skrzynkę dostawałem droppery napisane w js (celowane w wykonanie przez Windows Script Host) z zaciemnionym kilkoma metodami kodem (dla rozrywki sobie “odciemniałem” i porządkowałem kod takiego droppera – lepsze to niż sudoku), tak od jakiegoś czasu ta rozrywka się skończyła.

    Obecnie przychodzą same niezaciemnione, kilkulinijkowe .vbs-y. Poaresztowali “zdolniejszych” – zostali sami nowicjusze klepactwa vbs… Czas przeprosić się z sudoku.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.