8:59
9/5/2017

Przed weekendem majowym, na skrzynki Polaków zaczęły docierać fałszywe e-maile, w których przestępcy podszywając się pod DHL, starali się zainfekować ofiary złośliwym oprogramowaniem. Fałszywych e-maili z zainfekowanymi złącznikami było już wiele. Także dotyczących marki DHL. I generalnie, z racji tego, że zawsze “są na to samo kopyto” nie ma sensu poświęcać im większej uwagi. Ale ta kampania wnosi pewien powiew świeżości i zawiera kilka ciekawych niuansów, dlatego warto ją szerzej opisać:

Fałszywe e-maile wysyłane są z domeny dhl-ssl.com:

From: “DHL Express (Poland), 38863748”
Date: Thu, 27 Apr 2017 09:52:13 +0200
Subject: Agencja Celna DHL – przesylka numer: 1512368956
Szanowni Panstwo,

Staraliśmy się dostarczyć twoją przesyłkę 20 kwietnia 2017 roku, 09:52:13.
Próba doręczenia nie powiodła się, że adres został zamknięty i nikt nie był w stanie uzyskać.
Aby odebrać paczkę, prosimy o wydrukowanie kwitu,
który jest dołączony do poczty elektronicznej lub odwiedzić biuro DHL, określony w fakturze (kwitu).
Jeśli przesyłki nie odebrać w ciągu 48 godzin, zostanie ona zwrócona do nadawcy.

Konto / Numer kwitu: 8667521829
Oczekiwana data dostawy: 20 kwietnia 2017
Klasa: Międzynarodowe usługi dostawy
Usługa (i): potwierdzenie odbioru
Statusu: Zawiadomienie wysłane

Z pozdrowieniami.
DHL Express (Poland) Sp. z o.o..

——————————————————-
*** To jest domyślna wygenerowana automatycznie e-maila, prosimy nie odpowiadać ***

Treść e-maila wygląda jakby została przepuszczona przez automatycznego tłumacza. Co ciekawe, załącznik w e-mailu to nie stosowane w malspamach Armaged0na pliki .pdf.js, a faktyczne PDF-y, o nazwie:

fakt_nr_49948569138.pdf

Na czym więc polega sztuczka? Ano na tym co jest w treści tego PDF-a:

Po kliknięciu w link:

hxxp://37.46.129.39/DHL/track.php?id=49948569138

oczom ofiary ukaże się strona:

Ta captcha jest urocza, niektórym na pewno wyłączy myślenie. Rzut oka w kod, pokazuje jak profesjonalnie sprawdza, czy ktoś jest robotem:

W kodzie, jak widać, są też pozostałości po poprzednich wariantach scamu. Po kliknięciu w przycisk, na komputer ofiary pobierany jest plik:

zalacznik_30194302444959041350461789306099118559794289.zip

SHA256: 83bf3aaa5517164cbafb1dbb187615808947735cea30eaea32784eb9bba1071f

który zawiera plik:

przesylka_number_278911172991763263208042404191219100217517791.exe

SHA256: 4855da253d57ac2edf405a8fb450fa1d8a8826c169077d1652cba3736d64b3e2

będący — jak można się domyślać — złośliwym oprogramowaniem. Obecnie wykrywanym przez zaledwie kilka antywirusów.

Poniżej informacje o domenie:

Domain Name: DHL-SSL.COM
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Sponsoring Registrar IANA ID: 1606
Whois Server: whois.reg.com
Referral URL: http://www.reg.ru
Name Server: NS1.DHL-SSL.COM
Name Server: NS2.DHL-SSL.COM
Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Updated Date: 10-apr-2017
Creation Date: 06-apr-2017
Expiration Date: 06-apr-2018

dhl-ssl.com has address 62.76.42.243

Zagraniczny trick zainspirował Polaków?

Czy ta majowa kampania zainspirowała naszych lokalnych cyberprzestępców do zmiany taktyki? Od kilku dni oni także wysyłają już prawdziwe PDF-y (a nie pdf.js). Te PDF-y co prawda nie zawierają linków do złośliwych stron napisanych jawnym tekstem, jak powyższa kampania DHL, ale odpalają je za pomocą JavaScriptu — wczoraj w południe opisywaliśmy kampanię tego typu na przykładzie “potwierdzenia wpłaty z PKO BP“.

Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Po tym jak rozwalili mi telewizor w transporcie tak nie lubię tej firmy, że jedyne co mi przychodzi do głowy to, że wrogowie twojego wroga są twoimi przyjaciółmi.

    • @Stefan: twoimi wrogami są niezwiązani z DHL internauci, bo otrzymują scam z logiem DHL? Logic? Please?

    • @mpan
      Czytaj ze zrozumieniem, moimi przyjaciółmi są wrogowie DHLa.

    • Przeczytałem. Zdaje się ty nie przeczytałeś, o czym jest artykuł.

  2. Ostatnio dostałem coś ciekawszego…

    Faktura przesłana z Multimedia….

    Ale jak w przypadku tego DHL’a jest już piękny plik pdf, a w dodatku nie ma antyrobota w rozumieniu potocznym. Otóż mechanizm zastosowany jest ciekawy i wnosi nas na nowy poziom. Okazuje się że ktoś wpadł na pomysł i domena to nie to co widzimy multimedia.pl tylko multimedi(inne_asci).pl a wygląd strony obsługi klienta jest identyczny z oryginalnym, programy pocztowe nie alarmują i gubi się nawet google :)

    Po próbie zalogowania mamy do czynienia z klasykiem, aczkolwiek w odmiennej formie, gdyż najpierw dostajemy b. przekonujące info o problemie z obsługą js i proszą nas o dodanie strony do zaufanych :) a później już wiemy jak to się kończy…

    całe szczęście, że mój skontenerowany system w wirtualce nie potrafi sam decydować, bo jeszcze byłby problem z zabezpieczeniem narzędzia testowego :)

  3. Już od pół roku takie akcje widziałem, tylko nazwy plików były fakt_[32 znaki 0-9a-f].pdf
    Początek nazwy się zmieniał (słowo fakt było różne, znak _ czasem był minusem). Ostatni złapany jaki widziałem miał nazwę: fv_566c34746f5d5ffd86a1e81988a2eef2.pdf i był z 16 marca z adresu info@ups-sup.com

  4. Mnie w tej akcji najbardziej interesuje że dostaję syf z logo DHL ZAWSZE jak czekam na przesyłkę za ich pomocą wysyłaną…..
    Zaczyna to być intrygujący zbieg okoliczności

    • Allegro ma chyba też chyba kreta w swoim systemie informatycznym. Również dziwnym zbiegiem okoliczności czekałem na przesyłkę i dostałem po 2 dniach spama, że mogę ją odebrac. Różnica tylko w tym, że przesyłkę miał niby dostarczyć kurier, a ja zamawiałem przez Pocztę Polską :]

    • @Krzysztof Kozłowski, sarr: zamiast szukać terorii spiskowych, popatrzcie w stronę statystyki. Otrzymanie takiego scama właśnie wtedy, gdy czekacie na paczkę — być może nawet od DHL — nie jest niczym niespodziewanym.

  5. Ciekawe, piszecie przed majówka. Tymczasem do mojej firmy ten mail zaczął docierać w okolicach stycznia po raz pierwszy.

  6. Pytanie laika komputerowego. Jeśli pobierany jest plik zip zawierający aplikację, to czy jest w stanie się on sam rozpakować i uruchomić???

    • @Małoważny: same to podobno dzieci się robią ;). Samo nie może się zrobić nic. Musisz albo ty świadomie ten plik rozpakować i uruchomić obecne w nim oprogramowanie, albo musi to zrobić narzędzie obecne w twoim systemie. Istnieją programy automatycznie rozpakowujące archiwa (np. dodatki do klientów Bit Torrenta, różnych pobierałek, programy antywirusowe etc.), ale nie słyszałem o żadnym (co nie oznacza, że nie istnieje!), które uruchamiałoby automatycznie zawarte w archiwum oprogramowanie. Hipotetycznie może istnieć podatność w narzędziu rozpakowującym, która spowoduje uruchomienie kodu, więc nie da się całkowicie odrzucić scenariusza, że pobranie archiwum spowoduje uruchomienie oprogramowania, ale — jak wynika z powyższego opisu — jest to bardzo mało prawdopodobna sytuacja.

  7. Z fałszywym awizem. Słowo awizo odmienia się przez przypadki.

  8. Ciekawi mnie jedno: dlaczego w 2017 scamy nadal zawierają błędy gramatyczne tak oczywiste, że od razu powinna zaświecić się czerwona lampka?

    Rozumiem pierwotne przyczyny braku dbania o takie szczegóły: zbudowanie prawidłowego tekstu kosztuje, a bez tego i tak działa — lepiej poświęcić zasoby na lepiej zrobioną część softową. Ale dzisiaj? Czy naprawdę te dodatkowe 10 minut poświęcone na dopracowanie kampanii — tyle zajmuje autokorekta plus sprawdzenie wyrażeń w wyszukiwarce — przekłada się na tak niską poprawę jej skuteczności, że jest to nieopłacalne?

    Czasami mam wrażenie, jakby twórcy celowo unikali atakowania co bardziej rozgarniętych osób ;).

    • Nie podpowiadaj potencjalnym skamerom. Akurat to dobrze, że siłą naszego języka jest to, że nie tak łatwo go “podrobić” :)

    • Ale przecież ten phishing jest zazwyczaj rozsyłany przez mało rozgarnięte osoby, często mające problemy z poprawną polszczyzną, nie zauważają więc one tych (oczywistych dla wielu) błędów.

      PS. Bez urazy, ale w artykułach na Niebezpieczniku też jest sporo literówek czy “zjedzonych” wyrazów – nie jest to na szczęście tak rażące, jak te teksty w phishingach…

    • Zdecydowanie celowo!!! :D Nabiorą się tylko Ci, którzy uwierzą w ten tekst i na żadnym etapie nie zaświeci im się lampka ostrzegawcza, vide przekręt nigeryjski.
      To jest celowa selekcja i pewien oportunizm z tym związany, nie trzeba ( nie wolno ) się starać przy redakcji takiego tekstu robiąc go na jak najbardziej autentyczny.
      Zwiększy to ilość skarg i szybciej spadną zyski.

  9. Nie rozumiem. Przecież wszyscy jesteśmy robotami.
    Biologicznymi, głupimi robotami, wykonującymi swój durny program (zwany życiem).

  10. o matko pierwszy raz spotyka mnie coś co jest tutaj opisane, dostałem maila z DHL nic nie zamawiając poszło jako spam i zablokowałem nadawce proste może jestem przeczulony…

  11. Tej firmy unikam bo dyspozycję podatkową naliczyli dwukrotnie tyle ile powinno być

  12. Ta sytuacja z vjw0rm zaczyna przypominać scenki z Epoki Lodowcowej. Kiedy ktoś wpadnie na pomysł by dodać witrynę Adobe do listy witryn szkodliwych oraz uzna na virus total wszystkie wersje acrobat readera za virusy? To rozwiąże problem raz na zawsze.

  13. Czy ktoś badał ile komputerów jest w ten sposób infekowanych, tj jedną kampanią? Dało by to informację o skali ignorancji uzytkowników.

    • Najbezpieczniej przyjąć, że skala ignorancji jak to określiłeś oscyluje wokół 98%, inaczej nie byłoby co rusz nowej fali zarażeń jakimś syfem.

  14. Dostałem dzisiaj to samo ale z domeny dhl-corp.com Return-Path:
    Received: from dhl-corp.com (178.208.88.88) (HELO dhl-corp.com)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: