13:19
10/7/2017

Od kilku godzin otrzymujemy od Was e-maile w sprawie nowej kampanii ze złośliwym oprogramowaniem. Tym razem częściej niż odbiorcy złośliwych e-maili, o sprawie informują nas …nadawcy tych wiadomości. Choć tak naprawdę, wcale nie są prawdziwymi nadawcami. E-maile ze złośliwym załącznikiem XLS wysłał ktoś inny, ale w stopce ten ktoś umieszcza różne imiona i nazwiska, a przede wszystkim “losowe” numery telefonów. Czasem jednak “losowy numer” jest przez kogoś używany. I ten ktoś dziś będzie mieć bardzo ciężki dzień…

Oto jak wyglądają wiadomości:

From: katarzyna.jarszak@interia.eu
Sent: Monday, July 10, 2017 9:51 AM
To: Subject: Rozliczenie czerwiec 2017

Witam, przesyłam Państwu dwa załączniki
wystawię fakturę w oryginale po otrzymaniu przelewu, z dniem przelewu- bardzo proszę potwierdzić kiedy płatność będzie realizowana.
Jeżeli pozostają jakiekolwiek braki do uzupełnienia po mojej stronie, proszę o kontakt.

Z wyrazami szacunku
Tadeusz Sienkiewicz
tel. 50810XXXX

Zawarty w załączniku plik:

FV_227-VAT.xls

MD5 42883d51f967d07e3a6a6c35d05694c8
SHA1 3fcf1ec787f46af6040d2eafe008a695d078a847
SHA256 228222c7d5b85865b61ca9f5ae47d3699c608b05d158f6882460a9a11bf8a683

Zawiera skrypt (makro), który po otworzeniu i włączeniu skryptów instaluje złośliwe oprogramowanie.

Pamiętajcie, aby nigdy NIE włączać makr w dokumentach Office otrzymanych jako załączniki do e-maila. Praktycznie za każdym razem jest to sztuczka mająca na celu zezwolenie na instalację złośliwego oprogramowania. Jeśli pracownicy w Twojej firmie mają problem z tym jak bezpiecznie korzystać z firmowej poczty i ogólnie komputera podpiętego do internetu, dajcie nam znać — z chęcią zrealizujemy w waszej firmie 2 godzinną prelekcję, która nie tylko znacznie podniesie świadomość pracowników i pokaże jak ustrzec się internetowych ataków, ale dzięki humorystycznemu podejściu i wielu praktycznych demonstracji ataków “na żywo”, na pewno na długo zostanie w ich pamięci. Tutaj lista tematów i informacja o tym jak zamówić taki wykład. Mamy już tysiące zadowolonych klientów, którzy nasze porady wykorzystują nie tylko w życiu służbowym, ale i prywatnym.

Jeśli zaś jesteś administratorem microsoftowej domeny, to rzuć okiem na nasze szkolenie z Bezpieczeństwa Systemu Windows. Maciek pokazuje tam kilka mechanizmów,
które można zastosować, aby tego typu ataki w ogóle nie miały szans na powodzenie, nawet jeśli któryś z pracowników otworzy plik przez roztargnienie.

Analiza złośliwego załącznika

Analizę tego załącznika możecie zobaczyć tutaj. Malware próbuje łączyć się do poniższych domen i hostów:

lzlgygnfbnnf.com 94.244.149.221 Ukraine
farsonka.co 49.51.34.195 China
gesofgamd.com 119.28.100.124 China
49.51.34.195
77.122.235.58
46.173.91.205
109.162.2.39
119.28.100.124
49.51.34.195
77.122.235.58
46.173.91.205
109.162.2.39
119.28.100.124
31.202.198.37
94.179.220.41
188.26.78.154
109.62.178.54
46.118.125.90
46.118.117.40
94.154.208.156
37.229.44.69
94.244.149.221

Obecnie tylko 4 antywirusy wykrywają go przy użyciu baz sygnatur:

Jak widać, numery telefonu są generowane w obrębie puli 508101XXX — jeśli macie znajomych w tej numeracji, możecie ich uprzedzić. Aby sprawdzić, czy macie takich znajomych, wystarczy w niektórych smartphonach wpisać początek numeru, czyli 508101 i sprawdzić, czy coś Wam się “dopełnia”.

Dziękujemy wszystkim czytelnikom, którzy poinformowali nas o tej kampanii i przesłali próbki. To dzięki Wam możemy ostrzegać przed atakami innych. Przy okazji,
gdyby ktoś kiedyś chciał nam przeforwardować złośliwą wiadomość, mała wskazówka: aby e-mail na pewno dotarł (a nie został odbity przez serwer pocztowy ze względu na złośliwe oprogramowanie), zapiszcie go z poziomu programu pocztowego jako .EML, albo w dowolnym innym formacie i podeślijcie do nas wraz z załącznikiem, pakując to uprzednio darmowym programem 7zip na hasło “virus”. Dzięki!


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

41 komentarzy

Dodaj komentarz
  1. Tak z ciekawości – bez włączenie zawartości makro wirus nie pobiera i działa, tak?

    • Parse error :) Ale po zastosowaniu heurystyki na Twoim pytaniu, domyślam się, że próbowałeś uzyskać informację, czy brak kliknięcia w “włącz zawartość” oznacza brak infekcji. Odpowiedź brzmi “tak, ale było blisko”.

    • A nie było ostatnio jakiejś załatanej podatności (kwiecień) w Office która pozwalała obejść to zabezpieczenie?

    • Pewnie na mac’u i tak nie działa, bo widzę tam dużo exe :(

    • Nie martw sie, portowanie malware z win na osx powoli robi sie popularne ;)

  2. Dodam tylko, że to nie jest nowa rzecz, kiedyś dawno temu (rok, może dwa) dostałem telefon z pytaniem o maila z fakturą.

    • Ja też oczywiście. To chyba często stosowana ściema.

  3. Oj tak. Ilość telefonów dzisiaj u mnie wzrosła. Wstrzelili się w Mój nr wiec co chwila dzwoni ktoś “z fakturą”

  4. Godzina na screenie to 16:08, data publikacji artykułu 13:19. Cuda? :)

    • Nie, strefy czasowe.

    • Na skrinie jest 4:08 rano, a nie 16:08…

    • I nie 18:08, a 4:08. AM to przed południem, więc nawet w jednej strefie czasowej wszystko by się zgadzało.

    • I ta data w formacie MM/DD/RRRR :D

  5. 15:00 ESET wersja bazy 15722 już wykrywa, aktualizacja bazy była o 13:47

    • Ciekawostka, dostałem inną wariację i ESET już nie wykrywa. Codziennie inna treść, codziennie dodatkowe zdanie. Dziś było tak:

      “Witam, przesyłam Państwu dwa załączniki
      wystawię fakturę w oryginale po otrzymaniu przelewu, z dniem przelewu- bardzo proszę potwierdzić kiedy płatność będzie realizowana.
      Jeżeli pozostają jakiekolwiek braki do uzupełnienia po mojej stronie, proszę o kontakt.”

  6. Jak to zablokować?

  7. Bieda ale zawsze bo brak próbek:

    body EMAIL_KASA_xls /prosz{1,8} potwierdzi{1,8} kiedy p{1,8}atno{1,8} b{1,8}dzie realizowana/
    describe EMAIL_KASA_xls spam ala
    score EMAIL_KASA_xls 2

    body EMAIL_KASA_xls2 /pozostaj{1,8} jakiekolwiek braki do uzupe{1,8}nienia po mojej stronie/i
    describe EMAIL_KASA_xls2 spam ala
    score EMAIL_KASA_xls2 2

    meta EMAIL_KASA_ALL EMAIL_KASA_xls && EMAIL_KASA_xls2
    describe EMAIL_KASA_ALL spam XLS
    score EMAIL_KASA_ALL 20

    można jeszcze kliknąć odnośnie załacznika ale nie wiem jak wygląda taki załącznik

    • No tak zapomnialem wstawic . przed nawias:

      body EMAIL_KASA_xls /prosz{.1,8} potwierdzi{1,8} kiedy p{.1,8}atno.{1,8} b.{1,8}dzie realizowana/
      describe EMAIL_KASA_xls spam ala
      score EMAIL_KASA_xls 2

      body EMAIL_KASA_xls2 /pozostaj.{1,8} jakiekolwiek braki do uzupe.{1,8}nienia po mojej stronie/
      describe EMAIL_KASA_xls2 spam ala
      score EMAIL_KASA_xls2 2

      meta EMAIL_KASA_ALL EMAIL_KASA_xls && EMAIL_KASA_xls2
      describe EMAIL_KASA_ALL spam XLS
      score EMAIL_KASA_ALL 20

  8. Niech ktos wystawi takie emla do pobrania :)

  9. “Pamiętajcie, aby nigdy NIE włączać makr w dokumentach Office otrzymanych jako załączniki do e-maila”
    Można również powiedzieć: Nie przechodź przez drogę, bo samochody jeżdżą.
    Moja praca polega na pisaniu makr w MS Office, bardzo często wysyłam klientom pliki mailem. Trzeba po prostu myśleć co się robi, a nie bać się zawsze i wszystkiego.

    • @JS

      Warto w takim przypadku skorzystać z odrębnej procedury do przekazywania plików w formacie potencjalnie niebezpiecznym – można stosować np. podpis cyfrowy, przekaz uzgodnionym odrębnym kanałem innym niż email z załącznikiem (p2p, jakieś repozytorium), potwierdzenie telefoniczne wysłania pliku, itd.

      Spotykam się z tym na codzień. Ludzie z wyobraźnią tak właśnie robią, zamiast namawiać userów do łamania procedur zabezpieczeń, sprawdzających się w pozostałych 99,99 % przypadków :-)

  10. U mnie w pracy dzisiaj koleżanka to otworzyła :( Nie wie tylko czy macra uaktywniła…

    Komp odstawiony, próbka puszczona do Virtus Total i zaczęte skany Nod32 (znalazł syfy) i później rescue CD Kaspersky + Symantec + Avira + Arcabit (ponieważ w bazie Virus Total od wykrywał ta próbkę).
    Jeszcze na koniec puściłem skan ADW Cleaner i jest czysto.
    Coś jeszcze zrobić? Czy to powinno wystarczyć?

    • Profilaktycznie puść z dwa razy format C ;-)

    • Profilaktycznie kup nowy dysk. xD

  11. Nie lepiej zaspamować linkiem do niebezpiecznika tę pulę 1000 numerów komorkowych?

  12. Pytanko: czy wskazując znaki drogowe trzeba oznaczać również słupki?

  13. A jak ktoś jest szcześliwym posiadaczem numeru do której dzwoniły osoby z pretensjami i groziły sądami o wyłudzanie pieniędzy to co ma zrobić biedak? :>

    • Można założyć, że to minie. Można mówić zgodnie z prawdą, że nic nie wiesz o żadnej fakturze i nic od nich nie chcesz (ja tak zrobiłem w podobnym przypadku ze 3 lata temu i było OK). Ewentualnie, że to musi być atak przestępców zarówno na Ciebie, jak na nich. W przypadku powtarzających się telefonów zablokować nachalne numery. W przypadku nękania Cię i gróźb – zgłoszenie na policję / prokuraturę.

      Myślę też, że możesz zgłosić do “organów” po prostu to, że ktoś się pod Ciebie podszył i podaje Twój numer telefonu w takiej wiadomości.

    • Zmienić nr telefonu :)

    • Podesłać im niniejszy artykuł :)

  14. Te makra to od lat gratka dla chakeruw, czy tak trudno z makrami zerwać? MS widocznie też pasuje, że w ok 80% wykorzystywane są do ataków..

  15. Orientuje się ktoś, co ten syf robi? Bo ransomware to chyba nie jest?

  16. Do mnie dzwonili jakoś na początku roku :-)

  17. a – numer nie był losowy – był wyjęty z KRS

  18. Czy sa jakies innej godne polecenia platformy do skanowania podejrzanych plikow? Cos co mozecie polecic.

  19. hokus pokus czary mary… pod numbers nie chce działać ;p

  20. Czemu dzisiaj virustotal.com nie widzi zagrożenia w tych samych plikach, w których wczoraj po południu ok 10 programów antywirusowych wykrywało infekcję?

  21. Tradycyjne oprogramowanie antywirusowe jest do bani i opieranie się tylko na nim to głupota. Polecam bardzo dobry, już prawie dziesięcioletni wpis z pewnego bloga:

    https://blog.codinghorror.com/blacklists-dont-work/

    Niesamowite, że 10 lat później użytkownicy Windowsów dalej mają problem z czymś, co mogło już dawno umrzeć i nie powinno stanowić żadnego zagrożenia. Skoro spamerzy nadal wysyłają ten szajs, to widocznie jest on wciąż skuteczny.

  22. Cześć,

    a jak kliknąłem, otworzyłem i zaakceptowałem makra to jak jak się ratować? Oczywiście po przeskanowaniu Kasperskym nic nie znalazł w systemie. Pozdrawiam.

    • Załatwiaj bitcoiny i czekaj na komunikat ransomware na Twoim kompie – tam będziesz miał wszystko wyjaśnione. :P

    • Przeskanuj na nieuruchomionym Windows za pomocą jakiegoś RescueCD z antywirusem

Odpowiadasz na komentarz Witek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: