14:11
11/10/2018

Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.

TYP ATAKU

[M]alware
[S]pam

ZAWARTOŚĆ

W czerwcu informowaliśmy Was o incydencie, w którym ktoś korzystając z danych dostępowych jednego z agentów Ergo Hestii za pomocą jej serwerów pocztowych próbował rozsyłać złośliwe oprogramowanie. Wygląda na to, że po trzech miesiącach ktoś powtarza ten atak. Tym razem jednak złośliwa wiadomość jest rozsyłana nie z prawdziwych serwerów Hestii, a przez serwery nazwa.pl.

Received: from yggikguugou (unknown [185.106.120.47])
by agromundwf.nazwa.pl (Postfix) with ESMTP id F1D2A23815C
for; Thu, 11 Oct 2018 04:16:09 +0200 (CEST)

W e-mailu znajduje się załącznik, rozpoznawany jako złośliwy:

MD5 (faktura_111018_0077975.rar) = ecad8e40cd9ba69fdbd807f725fe9e13
MD5 (faktura_111018_0077975.vbs) = b70187fc9c3c36674725d4527a34aef8

łączy się pod adres 162.255.119.157:

http://ppservice.stream/blank.php?fix=538742&&opt=45122231113&faps

PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. Co to IOC?

    • Indicator of compromise

    • Indicator of compromise – czyli źródło ataku. Agresor może wysyłać swoje wiadomości przykładowo z dziesięciu adresów mailowych, mieć pięć różnych tytułów i cztery załączniki. Ważne jest, żeby szybko znaleźć wszystkie wariacje aby ułatwić pracę adminom :-)

    • Za wikipedią:
      IOC – skrót angielskiej nazwy Międzynarodowego Komitetu Olimpijskiego (International Olympic Committee)
      IOC – skrót angielskiej nazwy Międzynarodowego Komitetu Ornitologicznego (International Ornithological Committee)
      IOC – skrót angielskiej nazwy Międzynarodowego Kongresu Ornitologicznego (International Ornithological Congress)
      IOC – skrót angielskiej nazwy Międzynarodowej Komisji Oceanograficznej (Intergovernmental Oceanographic Commission)

      czyli dalej nie wiemy, co to IOC

  2. Sender address
    annaszmyd@agromund.com.pl
    by agromundwf.nazwa.pl (Postfix) with ESMTP id 3B26F8459F
    From: Joanna Terelak

    Delete message. Malware: Malicious Payload File: faktura_111018_0077975.rar

  3. by server.elblag.eu (Postfix) with ESMTPSA id EF05C404540
    Reply-To: Joanna Terelak
    Organization: STU Ergo Hestia S. A.
    Delete message. Malware: Malicious Payload File: faktura_121018_8780003.rar

    Tresc: “Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.”

  4. Joanna Terelak

    Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.

  5. Od: Joanna Terelak

    Do:
    mnie

    Temat:
    Informacja o rozdysponowaniu wplaty

    Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.

    W dniu dzisiejszym :/

  6. Od: Kostur Anna
    Temat: Informacja o rozdysponowaniu wpłaty
    Odp. do. Kostur Anna
    Załącznik: faktura_241018_77510097.rar

    Informacja o rozdysponowaniu wplaty

    Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem,
    Kostur Anna
    ARCTIC PAPER KOSTRZYN

  7. Kolejna złośliwa wiadomość..

    Od: Ewelina Zuber
    Data:28.02.2019 19:16 (GMT+01:00)
    Do: dagdental@wp.pl
    DW:
    Temat: faktura 010319

    Szanowny Kliencie,
w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.
    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.
    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.
    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).
    Z powazaniem
    Joanna Terelak
    
STU Ergo Hestia S. A.”

  8. Szanowny Kliencie,

    w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.
    W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.
    Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.
    Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią PZU (dostępną całą dobę pod numerem telefonu 801 102 102).

    Z poważaniem

    PZU SA

    Logo PZU

    pzu.pl
    m: kontakt@pzu.pl
    t: 801 102 102, 22 566 55 55
    f: 22 4 102 102
    adres korespondencyjny: ul. Postępu 18 a, 02-676 Warszawa

    Powszechny Zakład Ubezpieczeń Spółka Akcyjna, Sąd Rejonowy dla miasta stołecznego Warszawy XII Wydział Gospodarczy, KRS 9831, NIP 526-025-10-49, kapitał zakładowy: 86 352 300 zł, wpłacony w całości, al. Jana Pawła II 24, 00-133 Warszawa, pzu.pl, infolinia: 801 102 102 (opłata zgodna z taryfą operatora)

    Wiadomość ta jest przeznaczona wyłącznie dla jej zamierzonego adresata i może zawierać informacje zastrzeżone oraz prawnie chronione. Jeżeli przez pomyłkę otrzymali Państwo tę wiadomość, proszę o poinformowanie nadawcy o tym fakcie i usunięcie wiadomości wraz z załącznikami.
    Regulamin świadczenia usług drogą elektroniczną oraz informacje, o których mowa w art. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) znajdują się na stronie pzu.pl.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: