20:56
15/10/2018
Czytasz wpis z sekcji “
Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.
TYP ATAKU
[M]alware
[S]pam
ZAWARTOŚĆ

From: “Przelewy24 (50858368286)” wnacw@whf.ind.in
Subject: Potwierdzenie transakcji: 50858368286
Dialcom24 Sp. z o.o. – www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań
POTWIERDZENIE TRANSAKCJI
Data: piątek, 12-10-2018
Wpłacający:
Tytułem: P12-907-660
Opis: 550858368286/61326518
Kwota: 1433.93 PLN
Link do faktury: Faktura[1]
Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać
IOC
[1] hxxp://www.arujogi[.]club/nccztz/rkncntj.php
PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.
Przeczytaj także:
Ja dostałem przed chwilą SMS z linkiem kierującym na kopie strony przelewy24
Nadawca: TEST
Treść: Wysylka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza anulowanie zamowienia.
http://pk999[.] pl/1
Hmm, też mam od tego nadawcy sms, tyle że w treści mam że paczka czeka na odebranie i link pozorujący inpost
U mnie Faktura prowadzi do
http://www.saharaincorporated[.]com/ddscpwab/qqzfnrz.php
kolejny wariant: https://visionintegrale[.]org/wultwbe/mvarfeds.php
Jeszcze jeden:
https://www.e-work.com[.]ua/gpqeyky/xdqnzo.php
Atak wymierzony w Androida czy PC ? Bo mój ojciec dał się wkręcić :( i pobrał jakiś plik zip. Wg skaneru virustotal trojan itp. , jednak system zgłosił że nie potrafi tego otworzyć. I teraz się zastanawiam czy poza standardowymi procedurami bezpieczeństwa czyszczenie kompa również konieczne..
Niektóre wirusy/trojany same z siebie wyświetlają tego typu komunikat po instalacji w systemie, wielu ludzi w takim przypadku próbuje otworzyć go na innym komputerze.
Kolejne:
https://www.livingstory[.]co[.]uk/elrjxn/qtebod.php
http://shop.arahmanmew[.]com/ludgcdw/wacgrg.php
http://marcelo[.]co[.]il/ocsama/zjivsr.php
Kolejne linki do “Faktury”:
http://kxms.com/llycd/axdattjp.php
https://shop.corrieredellacampania.it/wotljbpt/tbplsvmd.php
U mnie w firmie osoba odpowiedzialna za przelewy otworzyła. Jeden z banków po tym zablokował dostęp do konta firmowego, zatem zapewne wirus wykradł hasła.
Inne wariacje:
https://techmanlou.com/dmrbkt/nuugen.php
http://www.etikblog.com/ejhwslxe/izxrr.php
Nowa wersja z 2018-10-14
http://mondulcity[.]com/vueloag/wejja.php
30-10-2018
http://kreamosbodas.com/wp-content/uploads/2018/10/tbjjygn/ybmxu.php
Kolejny:
http://kiyono.circle-inc.co.jp/wp-content/uploads/2018/10/sycvwje/sgxxwl.php
Świeża dostawa z dzisiejszego maila:
http://duanguavietnam.com/wp-content/uploads/2018/10/rdreqgk/lrwsuoem.php
rozsyłane dosyć mocno na polskie adresy. Co się dzieje po rozpakowaniu jednego i drugiego archiwum? zrobił ktoś analizę? Ewentualne kroki po kliknięciu? moze się przydać
Dzisiejszy mail:
http://stalea.kuz.ru/wp-content/uploads/2018/10/fjrtp/yomih.php
I ja się dorzucę:
http://droswaltr.com/wp-content/uploads/2018/10/qjbohd/nvbxpqb.php
30 paź 2018 13:19 (11 godzin temu)
Od: Przelewy24 (64810050851)
Do:
mnie
Temat: Potwierdzenie transakcji: 64810050851
Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań
POTWIERDZENIE TRANSAKCJI
Data: sroda, 24/10/2018
Wpłacający:
Tytułem: P55-355-595
Opis: 564810050851/47670805
Kwota: 3714.83 PLN
Link do faktury: Faktura
Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać
Ta sama treść, podrzucam link:
http://link-evolution.com/wp-content/uploads/2018/10/tgeeowbh/vpoevx.php
Jeszcze kilka linków, uważajcie:
http://shop.arahmanmew[.]com/ludgcdw/wacgrg.php
http://marcelo[.]co[.]il/ocsama/zjivsr.php
Kolejny adres:
http://sybel.com/jnpesd/bpsxx.php
kolejny adres, ale co ciekawe tym razem strona faktycznie istnieje… sprawdzałem samą domene w google.
http://www.glowmedicals.com/edpqa/mkbiquc.php
Przelewy24 (15609218929) nowy adres z 21 listopada 2018
Z dzisiaj..
POTWIERDZENIE TRANSAKCJI
Data: sroda, 14-11-2018
Wpłacający: [ciach]@[ciach].pl
Tytułem: P58-587-113
Opis: 538118501971/74768506
Kwota: 8799.48 PLN
Link do faktury: Faktura
[i tu link]
https://www.puromais.com.br/pqurt/wwxynkhz.php
przelewy24.pl, zniknięcie środków z konta
dzień dobry, przepraszam że pytam, jestem świeżym użytkownikiem serwisu przelewy24.pl,
otrzymałem informacje mailem, że przelewy24.pl, pobrały z mojego konta pieniądze po czym jej zwróciły. W ich korespondencji brakuje jakichkolwiek danych kto autoryzował przelew, czego dotyczy. Sęk w tym że to wszystko bez mojej zgody. Czy ktoś miał podobny problem i czy może mi pomóc.
Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań
POTWIERDZENIE TRANSAKCJI
Data: 16/01/2019
Wpłacający:
Tytułem: P58-580-228
Opis: 525425140592/99318911
Kwota: 2423.20 PLN
Link do faktury: Faktura
Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać
22 stycznia dostałem i ja:
Od: Przelewy24 (85864292834)
Do:
mnie
Temat: Potwierdzenie transakcji: 85864292834
Dialcom24 Sp. z o.o. – http://www.Przelewy24.pl, ul. Kanclerska 15, 60-327 Poznań
POTWIERDZENIE TRANSAKCJI
Data: czwartek, 17/01/2019
Wpłacający:
Tytułem: P62-818-410
Opis: 585864292834/94045269
Kwota: 3532.35 PLN
Link do faktury: Faktura (http://kruktrans.waw.pl/wp-content/dL47kb6R/nfloyk/nrkdpuef.php)
Wiadomość wysłana automatycznie, prosimy na nią nie odpowiadać
Niestety kliknąłem w link, przekierowało na stronę i wyskoczyło server not found czy jakoś tak, ogólnie jakiś błąd. Czy to oznacza że zainfekowałem już komputer? Nic nie instalowałem ani nie ściągałem czy rozpakowywałem. Czy czyszczenie kompa w tej sytuacji jest konieczne?
Będę wdzięczny za informację.
Ja trafiłem na tą stronę, bo szukałem informacji dotyczącej przelewu, który de facto otrzymałem. Adres siedziby taki, jak wyżej. O kurde… Ktoś może zgłosić się po odbiór? ;)
88,00 PLN
Tytuł płatności P24-V32-M41-N22 M3475-78941
Rodzaj transakcji Płacę z Alior Bank
Data transakcji 2021-08-25
Data księgowania 2021-08-25
Numer referencyjny ADMzM5vQAI0vJmH8CwAA
Czy można to gdzieś zgłosić, aby odzyskać pieniądze? I na co uważać? Ja nawet nie wiem jak to się stało, w którym momencie ten link się uaktywnił…
właśnie dostałam przelew z tymi danymi nadawcy? nie maila z potwierdzeniem przelewu, tylko normalny przelew w aplikacji bankowej?! nie mam pojęcia o co chodzi, proszę o info
Mam to samo. Dostałam kasę na konto i nie wiem, czy mogę teraz zrobić przelew, bo dziś miała za coś zapłacić…