20:56
15/10/2018

Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.

TYP ATAKU

[M]alware
[S]pam

ZAWARTOŚĆ

From: “Przelewy24 (50858368286)” wnacw@whf.ind.in
Subject: Potwierdzenie transakcji: 50858368286
Dialcom24 Sp. z o.o. – www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

POTWIERDZENIE TRANSAKCJI
Data: piątek, 12-10-2018
Wpłacający:
Tytułem: P12-907-660
Opis: 550858368286/61326518
Kwota: 1433.93 PLN
Link do faktury: Faktura[1]

Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

IOC


[1] hxxp://www.arujogi[.]club/nccztz/rkncntj.php

PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Ja dostałem przed chwilą SMS z linkiem kierującym na kopie strony przelewy24
    Nadawca: TEST
    Treść: Wysylka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza anulowanie zamowienia.
    http://pk999[.] pl/1

    • Hmm, też mam od tego nadawcy sms, tyle że w treści mam że paczka czeka na odebranie i link pozorujący inpost

  2. U mnie Faktura prowadzi do

    http://www.saharaincorporated[.]com/ddscpwab/qqzfnrz.php

  3. Atak wymierzony w Androida czy PC ? Bo mój ojciec dał się wkręcić :( i pobrał jakiś plik zip. Wg skaneru virustotal trojan itp. , jednak system zgłosił że nie potrafi tego otworzyć. I teraz się zastanawiam czy poza standardowymi procedurami bezpieczeństwa czyszczenie kompa również konieczne..

    • Niektóre wirusy/trojany same z siebie wyświetlają tego typu komunikat po instalacji w systemie, wielu ludzi w takim przypadku próbuje otworzyć go na innym komputerze.

  4. U mnie w firmie osoba odpowiedzialna za przelewy otworzyła. Jeden z banków po tym zablokował dostęp do konta firmowego, zatem zapewne wirus wykradł hasła.

  5. Nowa wersja z 2018-10-14

    http://mondulcity[.]com/vueloag/wejja.php

  6. Świeża dostawa z dzisiejszego maila:
    http://duanguavietnam.com/wp-content/uploads/2018/10/rdreqgk/lrwsuoem.php

  7. rozsyłane dosyć mocno na polskie adresy. Co się dzieje po rozpakowaniu jednego i drugiego archiwum? zrobił ktoś analizę? Ewentualne kroki po kliknięciu? moze się przydać

  8. Dzisiejszy mail:
    http://stalea.kuz.ru/wp-content/uploads/2018/10/fjrtp/yomih.php

  9. I ja się dorzucę:
    http://droswaltr.com/wp-content/uploads/2018/10/qjbohd/nvbxpqb.php

  10. 30 paź 2018 13:19 (11 godzin temu)
    Od: Przelewy24 (64810050851)
    Do:
    mnie
    Temat: Potwierdzenie transakcji: 64810050851
    Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań

    POTWIERDZENIE TRANSAKCJI

    Data: sroda, 24/10/2018

    Wpłacający:
    Tytułem: P55-355-595

    Opis: 564810050851/47670805

    Kwota: 3714.83 PLN

    Link do faktury: Faktura

    Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać

  11. Ta sama treść, podrzucam link:

    http://link-evolution.com/wp-content/uploads/2018/10/tgeeowbh/vpoevx.php

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.