14:44
4/6/2014

Od rana otrzymujemy od naszych Czytelników zgłoszenia o fałszywych e-mailach, które podszywając się pod operatora przesyłają zainfekowany załącznik, który rzekomo ma być fakturą.

Oto, jak wygląda fałszywa wiadomość:

From:
Subject: faktura 06.2014
Date: Wed, 4 Jun 2014 12:43:33 +0200

numer konta Abonenta: 794171757
Faktura VAT nr 1849932091/06/14

Po zalogowaniu się do serwisu Netia On-line, przy wykorzystaniu numeru
konta Abonenta i PIN-u, mozżesz zdefiniować swoją indywidualną Nazwę
użytkownika i Hasło, aby logowanie było jeszcze łatwiejsze.

Netia SA

Numer konta abonenta podawany w e-mailu zmienia się w poszczególnych wiadomościach — numer faktury pozostaje ten sam. Do wiadomości dołączony jest załącznik o nazwie Elektroniczne Obraz Faktura_8088423292.06.14.pdf.zip lub Elektroniczne Obraz Faktura_9941915359.06.14.pdf.zip, który po rozpakowaniu zawiera plik:

Elektroniczne Obraz Faktura_9488749388.06.14.pdf.exe

MD5 8508b1e9846b267f610f54d665f6f7a6
SHA1 774e68a3511bbb4219fa8898fd3d1e95cf83c804
SHA256 2c2bc39d818490ac95cdaa67ff464e1a3680404e8729bff5f4481629ddb352bb

Na chwilę obecną, plik ten wykrywany jest jako złośliwy przez 2 antywirusy:

Antivirus_scan_for_2c2bc39d818490ac95cdaa67ff464e1a3680404e8729bff5f4481629ddb352bb_at_UTC_-_VirusTotal

Plik ten w internecie występuje też pod nazwami:

file-7069316_exe
Elektroniczne Obraz Faktura_9488749388.06.14.pdf.exe
Bez-nazwy-490100_1.JPG.exe
alg.exe

Wiadomości są rozsyłane m.in. z tych adresów:

Received: from [55.30.59.58] (account oafr19@telecomitalia.it HELO rlobjazri.hvebqts.org)
by 78.188.238.174.dynamic.ttnet.com.tr (CommuniGate Pro SMTP 5.2.3)

Czyżby ktoś zrobił użytek z wykradzionej parę lat temu Netii bazy klientów? Dajcie znać, jeśli dostaliście tego e-maila, a nie jesteście klientami Netii. — maile rozsyłane są na e-maile należące także do osób, które nie są i nie były klientami Netii.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Sprytne ciekawe jak duży zasięg jest tej rozsyłki

  2. Można sampelka na @?

    • Proszę bardzo: http://pastebin.com/FB1c82xY

    • Na pastebin wrzuciłem base64 pliku. Linuksiarze mogą sobie bardzo łatwo “utworzyć” obiekt do dalszych badań

      wget http://pastebin.com/raw.php?i=4XH1AN6J -O wirus.base64
      cat wirus.base64 | tr -d ‘\r’ | base64 –decode > wirus.zip
      unzip wirus.zip
      md5sum Elek*

      P.S. Tak wiem, można było w jednej linijce ale nie chciało mi się
      Swoją drogą obrazuje to jak łatwo można wrzucić gdziekolwiek niepozorny kod (to nie musiało być base64), pobrać go, przetworzyć i uruchomić

  3. Dostałem tego maila na adres służbowy, chociaż nigdy nie byłem klientem Netii tylko wiele lat temu Dialogu.

  4. Dostałem na służbowego maila – nie ma możliwości żeby był on w bazie netii.

  5. Wysyłka z pewnością nie ma nic wspólnego z bazą netii. Do mnie dotarł na adres wykorzystywany wyłącznie na potrzeby kontaktu z dwoma największymi rejstratorami domen .pl

  6. Dostałem maila a nigdy nie byłem klientem Netii. Od razu usunąłem. Wcześniej dostałem podobne maile z załącznikiem *.jpg.zip ale z informacją w treści jakoby był to MMS.

  7. Jestem klientem Netii ale maila nie dostałem.

  8. Potwierdzam że dostałem taki shit na pocztę. Od razu mi to śmierdziało wirusem, zapisałem w sandboksie i przeskanowałem i przeczucia się potwierdziły.

  9. Problem dotyczy użytkowników mających system operacyjny windows a nie linux.

  10. Problem nie dotyczy tylko Netii. U mnie w firmie dostają takie maile od niemieckich operatorów komórkowych. I też z załącznikami które rozpoznaje 5/52 antywirusów w dniu otrzymania

  11. To tylko kolejny raz pokazuje jak niebezpieczna jest opcja eksploratora windows “ukryj rozszerzenia znanych plików”. Jeżeli do tego ikona pliku wykonywalnego będzie taka sama jak dokumentów pdf, to istnieje ryzyko, że nawet doświadczony użytkownik może doznać chwilowego zaćmienia i nieopatrznie kliknąć tam gdzie nie trzeba

    • Ikona tego pliku to ikona plików Worda z Office 2010 na Maca. Zaszaleli ;D

  12. Wysłałem archiwum do SOPHOS. Dostałem info, że sygnatura zostanie dodana jeszcze dzisiaj. Z tego co widzę, teraz Sophos także rozpoznaje malware.

  13. W Anglii popularny jest rachunek O2 – wystarczy jeden wpis w Barracudzie i mamy spokój z mailami na całej domenie :)

  14. Co ten wirus konkretnie robi?
    Bo ja nieopatrznie uruchomiłem po przeskanowaniu NOD32 który nic nie wykazał..

    • W tekście został podlinkowany odnośnik do wyników skanowania Virus Total. Jak widać NOD niczego nie wykazywał. To w takim bądź razie:
      ad1. Po jakiego diabła machasz nad takim plikiem myszą zamiast od razu usunąć
      ad2. Czytaj uważniej

  15. Jaki tam wirus, przecież .exe to najpopularniejszy format kompresji, bije na głowę .7z, .rar i inne pierdoły :D

  16. To samo.

    From debaterson6@telecomitalia.it Wed Jun 4 12:37:59 2014
    (…)
    Received: from ROU-PACDD.pac-elsner.local (2.250.80.212.static.versanetonline.de [212.80.250.2])
    (…)
    Received: from [214.61.49.145] (account debaterson6@telecomitalia.it HELO bnxwkd.rcjbuzndqzoss.ru)
    by ROU-PACDD.pac-elsner.local (CommuniGate Pro SMTP 5.2.3)

  17. Szanowni Państwo,

    Nasze oficjalne stanowisko w tej sprawie znajdą Państwo na stronie: http://www.netia.pl/global_page,26309.html?mobile=0

    Pozdrawiamy,
    Netia

  18. .pdf.zip i .pdf.exe na pewno nie groźne :P Osoby zajmujące się firmą raczej mają pojęcie, że te formaty są bardzo podejrzane.

  19. Dziś dostałem podobnego maila od efaktura@upc.pl, oczywiście zablokowana przez gmail.

  20. witam, dostalismy takie maile także z “upc “

  21. Wyslalam przez www do Netii zapytanie o prośbę skontaktowania się.
    Za parę dni, na mojego maila przyszła właśnie ta “faktura”. Nie jestem klientem Netii, nie podpisywałam żadnej umowy. Pani udzielała mi tylko informacji dot. Zasięgu Netii.

    Nie otworzylam. Gdzie to zgłosić?

  22. Dostałem taką “fakturę” i bezmyślnie uruchomiłem. Po zorientowaniu się, że coś nie tak, pospiesznie wyłączyłem komputer. Jak sprawdzić, czy zdążyło mnie zainfekować? Jak usunąć w razie czego?

  23. Coś nie gra, to nie jest jakaś stara baza.
    Wczoraj na formularzu kontaktowym na stronie Netii, zostawiłem swój telefon i e-mail.
    Dziś dostałem e-maila z zainfekowaną fakturą.
    Nie komentuję

    • a oprócz ciebie setki innych osób, które nie sa klientami netii.

  24. Wirus podszywa się pod stronę banku i symuluje logowanie się do konta po czym wykorzystuje wpisane kody z tokena do przelewu.

  25. […] scamerzy rozsyłali fałszywe e-maile z zainfekowanymi fakturami podszywając się pod UPC, Netię, oraz Pocztę Polską. Schemat zawsze jest ten sam, a e-maile trafiają nie tylko do klientów tych […]

  26. Ja dostałam już nową fakturę z żądaniem zapłaty. Niestety kliknęłam na nią zbyt szybko bo się zdenerwowałam :( Nic się jednak nie otworzyło bo nie mam zipa. Jednak czy oby na pewno? Mam antywirusa G Data ale jak widzę on niby go nie wykrywa. Czy ściągniecie z neta Avasta wystarczy czy musi być już to pełna wersja. Proszę o pomoc .

  27. Ostatnio zmienili rozszerzenia załączników i do niektórych osób mogą dochodzić faktury (po rozpakowaniu) z rozszerzeniem *.xml.pif (skrót do programu MS-DOS, w rzeczywistości niewielki plik wykonywalny)

  28. Też nie jestem klientem ani Netii ani Plusa a dostałem te maile. Nie wiedziałem o wirusie – ale jeśli nie jestem ich klientem – to za co mam płacić? Zapalił się “mój” bezpiecznik – maile do kosza i usuniecie kosza :-) A teraz czytam to “tutaj” i nie ma jak zdrowy rozsadek :-)

  29. netia nigdy mnie nie oszukała. jestem ich abonentem od dawna i zawsze byłem zadowolony.

  30. A ochrona jest banalnie prosta. Jeśli Twoja poczta obsługuje etykiety, to stwórz sobie “faktury” i dodaj do reguły wszystkie adresy Ci znane tak, aby wybierało tylko te, które uznałeś za autentyczne.

  31. […] podobnych fałszywych faktur lub potwierdzeń odbioru przesyłek (por. Zainfekowane faktury od UPC, Zainfekowane faktury od Netii, Fałszywe awizo od Poczty-Polskiej) i podobnie jak w tamtych przypadkach, zapewne tu także celem […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.