18/6/2018
Myśleliśmy, że po aresztowaniu Armaged0na liczba ataków skierowanych w Polaków spadnie. Okazuje się jednak, że ktoś godnie Tomka zastępuje. Oto ciekawa próba ataku, jaką tuż przed weekendem zostali potraktowani Polacy.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu
Ofiary otrzymały e-maila o takiej treści:
From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewuDrogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.Tytułem : NR 0013210/18 – Przelew Krajowy.
Typ : Z potwierdzeniem email na odbiorcę.W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Zobacz potwierdzenie.Potwierdzenie dostępne również w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim “Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat “Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.Pozdrawiamy
Zespół Mbank.Wiadomość wygenerowana automatycznie przez system Mbank24.pl. Nie odpowiadaj na te wiadomość. W celu uzyskania informacji prosimy o wysłanie nowego emaila pod adres :kontakt@mbank24.pl
A oto dodatkowe nagłówki e-maila:
Return-Path: mbank24@zoho.eu
Received: from [213.152.161.249] by mail.zoho.eu with HTTP;Fri, 15 Jun 2018 23:05:40 +0200 (CEST)
From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu
X-Priority: Medium
User-Agent: Zoho Mail
X-Mailer: Zoho Mail
X-Zoho-Virus-Status: 1
Link do potwierdzenia kierował pod adres:
http://wrzucacz[.]pl/download/1211529084686
i automatycznie pobierał na komputer ofiary złośliwe oprogramowanie. Ten sam link znajdował się także w załączonym PDF-ie, który wyglądał tak:
Zainfekuj się, bo RODO!
Szczególnie ubawiło nas to zdanie z e-maila:
Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Choć treść e-maila jest całkiem składa, to ten numer o RODO powinien dać do myślenia, podobnie jak i użycie niepoprawnych domen oraz “wrzucacza” do propagacji złośliwego oprogramowania. Nie wątpimy jednak, że kilka osób kliknęło i się zainfekowało…
Atak ukierunkowany czy nieudany?
Ostrzeżenia przed tym e-mailem nie znajdziecie jeszcze w zakładce Bezpieczeństwo mBanku, co może oznaczać, że ataki były bardzo wąskie. Nam ten malspam zgłosiła tylko 1 osoba. Dlatego, jeśli ktoś z Was też otrzymał tę wiadomość i znajdował się w niej inny URL lub udało mu się pobrać droppera, prosimy o kontakt.
Dziękujemy Jakubowi, który podesłał nam tę wiadomość
Serio? Mbank? system Mbank24? :-D
Nie no, nie mogę :D
“Bmank” ^_^
Bym się zaśmiał ale w autobusie nie wypada. I ten duży napis na niebiesko SPRAWDŹ POTWIERDZENIE PRZELEWU, i całkowicie pusta strona.
“automatycznie pobierał na komputer ofiary złośliwe oprogramowanie”
Pobrał, no i co z tego? Trzeba to jeszcze uruchomić.
Problem dzisiejszego społeczeństwa polega na braku wiedzy o RODO – wszyscy wiemy, że jest ale zaledwie 1/3 społeczeństwa wie o co w tym RODO chodzi i się łapie na takie głupoty jak certyfikaty RODO.
Analogowi przestępcy łowią “na wnuczka” i “na policjanta”.. cyfrowi zaś “na RODO” :)
A co się dziwić, skoro dziennikarze rozpętali w mediach widmo kar finansowych. Ciekawe kto im takich scenariuszy dostarczył? Moim zdaniem warto odszukać najwcześniejsze artykuły o RODO i karach w nim zawartych, a łatwo się ustali komu internauci zawdzięczają metodę “na RODO” :-)
“Myśleliśmy, że po aresztowaniu Armaged0na liczba ataków skierowanych w Polaków spadnie.” – serio ? tacy naiwni jesteście ? natura nie znosi próżni i aresztowanie jednego oszołoma niewiele zmienia, zaraz znajdą się naśladowcy chętni na “łatwą kasę”.
Więc nie należy zabezpieczać się przed jakimś jednym oszołomem tylko ogólnie przed wszystkimi.
Obecnie jest jakaś “posucha” z bardziej kreatywnymi “fakturami” oraz “wezwaniami do zapłaty”.
Jak zawsze na firmową skrzynkę dostawałem droppery napisane w js (celowane w wykonanie przez Windows Script Host) z zaciemnionym kilkoma metodami kodem (dla rozrywki sobie “odciemniałem” i porządkowałem kod takiego droppera – lepsze to niż sudoku), tak od jakiegoś czasu ta rozrywka się skończyła.
Obecnie przychodzą same niezaciemnione, kilkulinijkowe .vbs-y. Poaresztowali “zdolniejszych” – zostali sami nowicjusze klepactwa vbs… Czas przeprosić się z sudoku.