17:17
5/4/2017

Advertisement

Od 3 kwietnia wysyłacie do nas dziennie po kilkadziesiąt wiadomości w sprawie fałszywych e-maili od DHL, które zachęcają do kliknięcia w link i pobrania “raportu o statusie przesyłki”, który po otworzeniu infekuje komputer złośliwym oprogramowaniem.

Nic nowego, ale jaka skala!

Podszywanie się pod firmy kurierskie nie jest niczym nowym. Pisaliśmy o tym wielokrotnie. Tę kampanię mieliśmy więc przemilczeć, ale liczba zgłoszeń pokazuje, że w grupie odbiorców tym razem znalazło się naprawdę sporo firm.

Co więcej, jak donoszą nam niektórzy czytelnicy, fałszywe e-maile po raz pierwszy spływają im na skrzynki, które nie są nigdzie publikowane i wykorzystywane do komunikacji z niewielką liczbą osób. Zachodzi więc podejrzenie, że tak duża skala obecnej kampanii jest wynikiem wykradzenia przez przestępców książek adresowych z komputerów zainfekowanych w poprzednich kampaniach. Tak pozyskane e-maile zostały dołączone do grupy adresatów obecnej kampanii.

Jak wygląda fałszywa wiadomość

Fałszywe e-maile, wyglądające jakby były wysyłane m.in. z poprawnego i faktycznie używanego przez DHL adresu:

Preawizacja DHL pl.no.reply@dhl.com

tak naprawdę rozsyłane są ze skrzynek pocztowych ofiar poprzednich ataków. E-maili jest dużo i znajdują się one zarówno na polskich jak i zagranicznych serwerach. Nas urzekł jeden z nich: mczk@umelblag.pl — należący do Wydziału Zarządzania Kryzysowego i Ochrony Ludności w Elblągu. Ładna ochrona ;)

E-maile mają jeden z następujących tematów (te ustaliliśmy na podstawie przesłanych przez Was e-maili, dzięki!):

Sledzenie dostawy przesylki DHL
Preawizacja DHL
Obecny stan przesylki DHL
Monitorowanie dostawy przesylki DHL
Monitorowanie trasy przesylki DHL
Sprawdź stan przesylki DHL
Śledzenie za przesylka DHL
Powiadomienie o odbiorze przesyłki DHL Express

A w treści zawierają następujące opisy linków:

hxxp://dhl24.com[.]pl/przesylka/lista.html?=email@ofiary.pl
hxxp://www.dhl[.]pl/paket.action?time=113201&email=email@ofiary.pl
hxxp://nolp.dhl.com[.]pl/nextt-online-public.do&report=JavaScript&email=email@ofiary.pl
hxxps://nolp.dhl[.]pl/set_identcodes.do?time=174301&email=email@ofiary.pl
hxxp:/www.dhl.com[.]pl/content/dam/downloads.html?=email@ofiary.pl
hxxps://dhl24.com[.]pl/report.html?time=212801&report=JavaScript&email=email@ofiary.pl
hxxps://www.dhl[.]pl/set_identcodes.do?time=161901&email=email@ofiary.pl

pod którymi kryją się hiperłącza do różnych domen (zapewnie zhackowanych) — oto kilka z nich:

hxxps://team-advantage[.]com/H2091IE/
hxxp://givrum[.]nu/ox9898B/
hxxp://imagicastudio.com[.]au/ZnX8208FPNo/
hxxp://bobsstuff[.]com/JKd0017XZP/
hxxp://harle[.]tv/SC1535hO/

z których ściągane są pliki JavaScript o nazwie:

DHL__numer__zlecenia___09650623XX_____kwi___05___2017.js

mający na celu pobranie złośliwego oprogramowania na komputer ofiary.

A cała wiadomość wygląda np. tak (to jeden z szablonów stosowanych przez atakującego):

Sledzenie dostawy przesylki DHL

Informujemy, że w serwisie DHL24 zostało zarejestrowane zlecenie realizacji przesyłki, której jesteś odbiorcą.

Dane zlecenia:
– przesyłka numer:
924926XXXX

– data złożenia zlecenia:
poniedziałek, 03. kwietnia

Informacje o aktualnym statusie przesyłki znajdziesz na hxxp://dhl24.com[.]pl/przesylka/lista.html?=adres@e-mail.pl (JavaScript Raport)

Dziękujemy za skorzystanie z naszych usług i aplikacji DHL24.

Co robić, jak żyć?

Proponujemy zablokowanie na firmowych serwerach pocztowych e-maili, które korzystają z ww. tytułów i domen. Można również słać do spamu wszystko z FROM z DHL, co nie ma poprawnie ustawionego SPF-a, a już na pewno wszystko to, co ma linka opisanego inną domeną niż atrybut href.

A żeby Wasi pracownicy nie klikali na tego typu linki — podeślijcie im ten link: http://lepiej-tu-nie-klikaj.pl — niech się czegoś nauczą w ten niegroźny, ale zabawny sposób.

Przeczytaj także:



80 komentarzy

Dodaj komentarz
  1. Do listy możecie dodać jeszcze hxxp://nolb.dhl[.]pl/downloads.html&email=email@ofiary.pl
    prowadzący do hxxp://digitalfire.co[.]za/ha6122i/

  2. Poczta Onetu oznacza te maile jako SPAM.

    • No chociaż raz ten ich filtr spamowy zadziałał jak potrzeba.

      Do mnie też przyszło:

      “Od: DHL Parcel
      Temat: Status przesylki DHL

      Treść:
      Status przesylki DHL

      Informujemy, że w serwisie DHL24 zostało zarejestrowane zlecenie realizacji
      przesyłki, której jesteś odbiorcą.

      Podgląd aktywnych zleceń dostępny jest pod adresem:
      hxxps://nolp.dhl.com.pl/report.html?time=201704&email=a@a.com
      . (JavaScript Raport)
      Więcej szczegółów zlecenia uzyskasz kontaktując się ze zleceniodawcą/nadawcą
      przesyłki.

      Przesyłka powinna być doręczona następnego dnia roboczego po dniu jej nadania.
      W przypadku niektórych obszarów, określonych za pomocą kodów pocztowych,
      dostępnych w Contact Center, terminy doręczeń przesyłek o wadze ponad 31,5 kg
      wynoszą do 2 dni roboczych.

      Pozdrawiamy,
      DHL Parcel (Poland)

      Wszystkie spamy są wyświetlane w Thunderbirdzie jako zwykły tekst więc fajnie ze ukazal prawdziwy link.

      Nie powiem, bardzo dobrze przygotowany mail. Ale jednak wtopili z adresami http i emaila ;] W tym momencie zapaliła się mi czerwona lampka. Szybki gugiel i już wiadomo o co chodzi ;]

    • Ech, wciagneło link przekierowujący. Dostałem o taki o:
      hxxp://ebusiness.pk/gv7072dBN/

    • No cóż, tym razem ichni filtr spamowy nie zadziałał. Przyszedł kolejny:

      “Od: DHL ZAMOW KURIERA
      Temat: Preawizacja DHL”

      Treść podobna jak ostatnio. Tym razem podpisali się jako “DHL Express (Poland)”.
      Link z maila: hxxps://www.dhl.pl/paket.action&report=JavaScript&email=a@a.com
      (zaciemniony link: hxxp://itosm.com/@eaDir/Ol5403OOvX/ )

    • A na moją onetowską przyszła do folderu odebrane.

  3. Mnie ciekawi skąd wyciekła baza maili, bo seria spamu przychodzi na maile kont pocztowych w firmie, służących w systemach monitorowania typu nagios.

    • Może z ostatniej rekrutacji ;)

    • Dokładnie tak samo, wpadło mi to na konto testowe, które utworzyłem po skonfigurowaniu serwera pocztowego, założyłem sobie tam konto i podpiąłem w Thunderbirdzie dla testu i tak zostawiłem. Było to z miesiąc temu. Żadnego maila to konto nie dostało przez ten czas, aż tu nagle mail z “DHL”. WTF Panowie? :|

    • Paaanie, mi przyszło na alias, który załozyłem z dwa lata temu nie wiem nawet po co i całkiem już o nim zapomniałem, więc praktycznie nie używany.

    • Jeżeli dostajecie spam na adresy, których nigdy nikomu nie podawaliście, to niestety mam dla Was złą wiadomość: wyciek nastąpił u Was… Przez jakiegoś wirusa itp.

      Jeżeli nie wierzycie w czary, to jest to jedyne możliwe wyjaśnienie :(

    • Wystarczy przeczesanie plików z komputerów ofiar pod kątem czegokolwiek przypominającego adres e-mail. Naprawdę niesamowite, jak “prawie nigdy nie używane konta/aliasy” propagują się z komputera na komputer. Wystarczy jedna publikacja w sieci (forum, email wysłany do kogoś) żeby na taki alias trafiło. Konta używane do nagiosa – wystarczy, że ktoś takiego maila forwardował, potem ktoś odpowiedział… i leci.

  4. Na prywatną pocztę też przychodzi. Wyciek w DHLu?

    • A skąd DHL mógłby mieć u siebie adresy “techniczne”, o których piszą inni komentujący?… Na pewno źródłem nie był DHL.

  5. Moja skrzynka pocztowa po wyszukaniu “parcel”:

    https://lebihan.pl/files/Capture%20du%202017-04-05%2019-36-40.png

    XD

  6. Kliknąłem w przeglądarce Mozilla Firefox 52.0.2, w systemie Windows 10, do ochrony używam Windows Defender. Czy zostałem zainfekowany? Co robić, jak życ?

  7. Jakie systemy są podatne?

  8. Szkoda, że ten JS jest nieczytelny, a nie ma opisu jego działania…

    • Z ciekawości pobrałem i zdeobwuskowałem. W moim przypadku ściągał 5 exeków w postaci bodajże [5 cyfr].exe. 4 to to samo (wykrywalność virustotal 17, drugi nieco inny z wykrywalnością 11 antywirusów z ile tam virustotal sprawdza? 60? I to jest dobry wynik, bo zazwyczaj wykrywają około 3 kiedy sprawdzam jak sobie antywirusy radzą z nowym zagrożeniem.

  9. A czy ten wirus jest groźny dla urządzeń z systemem iOS ?

  10. Zerknąłem na ten js, używa funkcji odwracającej text przed wykonaniem w celu ominięcia antywirusa. Jest tam kilka domen dropujących plik exe, niestety tego nie udało mi się wyciągnąć, może dlatego, że pod żadną z nich już nie było zawartości…

  11. Wiadomo jaki wpływ ma ten skrypt na androida ?

    • Żadnego.
      Skrypt wykorzystuje ActiveX a do tego podrzuca pliki exe.

      Oczywiście mógłby pobierać pliki APK, tak jak robi wiele reklam na Androida, ale wtedy użytwonik musiał by jeszcze je zainstalować i to korzystając z opcji “nieznane źródła” w ustawieniach zabezpieczeń.

  12. Bardzo dużo FIRM. Niecgh dalej tworzą pracownikom maile w stylu imie.nazwisko lub nazwisko.imie lub i.naziwsko, to będzie mniej infekcji. Widać spryciarze ładnie wykorzystali goldenline i linkedin oraz znajdujące się tam dane do ataków. Brawo dla firm, które nie dbają o prywatność pracownika, a tym samym narażają też swoje dane na wyciek przez infekcje. Tylko pogratulować myślenia.

    • Oooo…dzięki. Od dziś będziemy zakładać tylko maile postaci 12345@blabla.com
      Będziemy bardziej bezpieczni i nikt nas nie znajdzie. Że też nikt wcześniej na to nie wpadł.

    • Mniej grzybków kolego. Pomijając absurdalność tezy, e-mail przyszedł na adres który z goldenline czy linkedin nie miał nigdy nic wspólnego.

  13. Pobranie .js to już powód do alarmu czy dopiero jego otwarcie? Waham się czy rzezać cały dysk.

  14. No dobrze, ale co robi ten trojan? Ktoś jest w stanie odpowiedzieć?

  15. Analiza jednej z próbek JS z wczoraj:

    hxxps://www.hybrid-analysis.com/sample/61a8a929e66d7b3e6daf78ca5df95a3c58dec75ef13d43a16287a490ed917f44?environmentId=100#

    Suma sha1 dropera wydaje się być stała, niezależnie skad jest pobierany.

    33bf50d84e59f5ad1e843661f202f7e96071b853 5748.exe.

  16. Temat jest kodwany w base64 wiec nie latwo go wyciac. w sumie sprawdzic base 64 dla wszystkich nie problem.

    Część mejli przychodzi z aol.com z spf ustawionym poprawnie więc też kicha.

    Body mejla jest bardzo podobne i można blokować

  17. Maile pochodzą z wielu źródeł, dostałem łącznie 12 sztuk. Każda na inny adres.

    * 12/12 rejestracje w różnych serwisach
    * 10/12 serwisów z logowaniem bez SSL
    * 3/12 z ostatniego miesiąca
    * 4/12 z ostatniego roku
    * 6/12 z ostatnich dwóch lat

  18. Ja dostałem taki sms z Poczty Polskiej z numerem przesyłki o którym Poczta nic nie wie.

  19. Tak to się kończy jak korporacja nie wykupi polskiej domeny tylko korzysta z uniwersalnej jak dhl.com. Wtedy nabrać człowieka jest o wiele prościej.

    • Oj pośpieszyłem się. DHL ma polskie domeny :)

  20. .Jar’y i .JS’y z ActivObject – szaleją. Dostałem conajmniej dwie sztuki.

  21. poddał ktoś deobfuskacji ten kod js?

  22. Osobiście 2 razy dostałem takiego maila niby od GLS.

  23. Kaspersky od razu się drze:
    Żądany obiekt JEST ZAINFEKOWANY następującymi wirusami: HEUR:Trojan-Downloader.Script.Generic

  24. Proponuję zainstalować pracownikom Linuxa albo FreeBSD. Chociaż użyszkodnik to wszystko potrafi sknocić :D

    • Tak, Linuxa, szczególnie do grafiki w Adobe CC. Pomyśl zanim coś napiszesz, może chociaż raz.

    • Porstszym sposobem jest zablokwanie js w systemie

  25. Do mnie natomiast przyszedł mail z załącznikiem .jar: AWB_Number_9143102.jar. Mail w języku angielskim, brak linków w treści. Chyba szukają innych dróg infekcji, nie tylko przez linki.

  26. Proszę podawać jakiego systemu operacyjnego to dotyczy! Bo jestem zaniepokojony czy mój komputer Atari jest bezpieczny.

    • Dobre!

    • A moje c64 krzyczy SYNTAX ERROR. Jakiś zepsuty ten JS. ;-)

  27. Na wszelki wypadek zablokowałem ze swojej sieci dostęp do adresów url w domenach innych niż .pl a i z .com tylko kilka adresów działa. To znacznie ogranicza możliwość otwarcia fałszywych odnośników.

    • Ja blokuję wszystkie znane mi “skracacze” linków. W tym szaleństwie jest metoda.

  28. Taka mała ciekawostka. 4 kwietnia kupowałem elektronikę na Alle… sprzedawca wysyłał DHL-em poprzez epaka…. dostałem dwa maile w odstępie 2 minut. Jeden z prawdziwego DHL-a a drugi z niby DHL… ciekawe

    • Podobnie miałem z Allegro w okresie przedświątecznym. Czekałem na przesyłkę od Poczty Polskiej, ale w czasie oczekiwania przyszedł do mnie mail że moja przesyłka (inny kurier) jest gotowa do doręczenia. Dziwna zbieżność sytuacji, wręcz podejrzanie zbieżna. Nie zdziwiłbym się, jakby ktoś nieproszony z zewnątrz monitorował sobie po cichu ruch na allegro.

    • A takie firmy jak DHL czy podobne nie mają jakiegoś API do współpracy z Allegroszami i sklepami? Jeśli tak, to może owo API cieknie albo dane wyciąga stamtąd ktoś mający legalny dostęp.

    • Mi to wygląda raczej na zainfekowany komputer sprzedawcy

  29. Styczeń ups-pl.pl i *.pdf z execiem
    Luty play24 i *.pdf
    Marzec orange i *.doc
    Kwiecień dhl z odnosnikiem…

    W firmie u nas maile te dostają jak na tą chwilę wyłącznie osoby z zarządu / stanowisk ds. zakupów. Często osoby bez żadnych linkedinów czy też goldenlinów. Maile przychodzą co ok 2 tygodnie od początku tego roku. Ostatni z DHL był chyba najlepiej spreparowany z tych 4 różnych.

  30. Można prosić o “łopatologiczne” wyjaśnienie, gdzie to zrobić i mniej więcej jak to zrobić? “Można również słać do spamu wszystko z FROM z DHL, co nie ma poprawnie ustawionego SPF-a, a już na pewno wszystko to, co ma linka opisanego inną domeną niż atrybut href.”

    • łopatologicznie: prześlij to do admina poczty – on będzie wiedział o co chodzi.

  31. dzisiaj do mnie przyszło
    Return-Path:
    Received: from mout.kundenserver.de ([212.227.126.187])
    link do js, nawet kliknąłem odruchowo ale jak się chciało “ściągać” to oprzytomniałem.
    http://hollyburns.com/Q4052ATwP/

    mail firmowy który regularnie wykorzystuje do komunikacji, także zakupów.

  32. Ja tez dostałem, ale było w całości po angielsku. Od razu poszło do skasowania.

  33. Coraz lepsze “językowo” te maile. I u nas w firmie (tak jak to pisał/a gt) dostają osoby które coś kupują i wybierają przesyłkę kurierem a nie są na goldi lub link-u… z 5 przypadków 3 są do osób które coś kupiły na Alle i dostały kurierem. Jeden raz to może przypadek. 2 raz to nieprawdopodobny przypadek… przy 3 się trzeba poważnie zastanowić.

  34. Czy odwirusować jak już ktoś ściągnął i uruchomił plik?

  35. Do listy można dodać:

    https://dhl24.com.pl/nextt-online-public.do&email=x.x@x.x.
    http://hudsonduke.com/u4861IP/

    Z mojego zespołu w firmie dostałem to dziś tylko ja i jeszcze 1 osoba. Zaciekawił nas jeden z komentarzy odnośnie Nagiosa (z którego korzystamy w firmie, i od 2-3 dni prowadzony jest jego upgrade)

  36. Też dostałam dziś takiego maila, a że czekam na przesyłkę faktycznie zamawianą, no to wstrzelili się idealnie. Prawie… Bo to zwykle nadawca (sprzedający mi coś) wysyła wiadomość z linkiem do śledzenia przesyłki, a nie firma, która przesyłkę ma dostarczyć.

  37. Ja dostałem tez to powiadomienie, tyle ze SMS-em i co ciekawe w dniu dbioru przesylki zadzwonil “kurier” z pytaniem, czy jest ktoś w domu by odebrać przesylke.
    Na moje pytanie jakie jest miasto doręczenia powiedział, ze Grudziąc.
    Kiedy dowiedział się, ze mieszkam w Katowicach, to stwierdził, ze widocznie ktoś podal zly numer telefonu.
    Zastanawiam się, co by się stało, gdyby “wydębił” ode mnie prawdziwy adres?

  38. Pobrałam tego .js’a i od razu usunęłam. Wiedziałam, że to fake ale byłam ciekawa, co zobaczę pod linkiem. Noo, nie jestem zbyt rozsądna. Co teraz powinnam zrobić?

  39. używam Ubuntu, i otworzyłem ten załącznik, wyskoczyło okno z z jakimiś ścieżkami i się zamkneło. jakie mogą być tego konsekwencje? czy mam formatować kompa?

  40. Witam,
    Dostałem 4.04.2017 e-maila ze śledzeniem przesyłki DHL. Link w e-mailu zawiera plik js który po uruchomieniu łączy się z serwerami i pobiera 5 plików: 8918.exe (z aktech.com.pl), 5004.exe (z etherealmedia.co.uk), 5323.exe (z brandcastersmedia.com), 6238.exe (z intecsoftware.com), 1246.exe (z danirvinphotography.com). Filtry antyspamowe i antywirus firewall-a nie dały rady ale sandstorm na Sophos XG125 zablokował pobranie tych plików. Stąd mam dane z jego logów.

  41. a do mnie przyszły trampki LOL

  42. Otworzyłem maila w iPhone. Co mam zrobić?

  43. Można jeszcze dodać ten url:
    hxxp : //nolb.dhl [.] pl/paket.action?time=120801&report=JavaScript&email=(tutaj znajduje się nasz adres e-mail, który nie jest publiczny, ale udostępniamy kilkunastu współpracującym firmom)

  44. Można dorzucić jeszcze taki link: Informacje o aktualnym statusie przesyłki znajdziesz na http://dhl24.com.pl/downloads.html&email=

  45. Zapomniałem dodać że e-mail został spersonalizowany :)

  46. Czy ktoś zechciałby odpowiedzieć na pytanie: jakie są skutki tego wirusa?
    Pytanie padło kilka razy, odpowiedzi – ani jednej.
    Pracuję na OsX, córka kliknęła w ten .js, czy mam czym się martwić?

  47. Mam pytanie jak wyżej. Dostaję masę takich e-maili i nigdy nie otwieram, ale chwilę wcześniej dostałam e-maila od sprzedawcy że paczka wysłana DHL-em i zaraz mi wyślę link do śledzenia.
    Chwilę potem przyszedł ten e-mail i kliknęłam w link. Nic się nie stało, nie wyświetliła mi się strona do pobrania ani nic, ale zastanawiam się czy to ma jakieś znaczenie?
    Co robić?

  48. A ja rozpływam się z dumy nad reakcją mojej mamy: nic nie otwierała, zawołała mnie tylko, że dziwny mail, pamięta o możliwych wirusach, ale może to ja coś zamawiałam? Powiedziałam, że nie, pokazałam nagłówki maila (myślałam, że będzie jakaś zabawa typu dhl-dla-zmylki.com i będę miała jeszcze jeden przykład edukacyjny, ale okazało się, że nawet na to spamerzy się nie pokusili), pochwaliłam :D Sukcesy uczniów cieszą, szczególnie jak uczniem jest rodzic :D A nauka nie poszła w las :D

  49. Ponawiam pytanie – czy ktoś rozłożył tego JSa i sprawdził na ile jest on niebezpieczny i co tak naprawdę robi?

    Przez przypadek otworzyłem plik, po czym zrestartowałem maca (El Capitan 10.11.6 (15G1421) ) i w safe mode przepuściłem skan Sophosem (Home) – niestety nic nie znalazło.

    Problem w tym, że podczas włączania komputera mam dwa logowania – do użytkownika i do KeyChaina, który dopiero pozwala na jakiekolwiek wejścia i wyjścia z systemu, w dodatku zawiera hasła do szyfrowanych dysków itd itd.

    Obawiam się, że hasło do Keychaina mogło zostać przechwycone…

  50. Najważniejsze aby uświadamiać ludzi starszych. Należy zastanowić się 3 razy przed każdym otwarciem jakiegokolwiek podejrzanego e-maila.

  51. To zlosliwe oprogramowanie przechwytuje haslo do skrzynki (skrzynek) pocztowych i za pomoca Waszego serwera pocztowego uzywa go potem do rozsylania spamu. Po zainfekowaniu nalezy przede wszystkim zmienic hasla do wszystkich skrzynek pocztowych i przeskanowac po tym katem wlasciwym oprogramowaniem antywirusowym. Polecam Farbar Recovery Scan Tool (wymaga niestety pewnej wiedzy) i AdwCleaner.

  52. “Agencja Celna DHL – przesylka numer: 3933939399”

  53. Agencja Celna DHL – z maila info@dhl-ssl.com

    błędy w tekście – brak poprawnej gramatyki – warto uważać na te maile.

  54. Agencja Celna DHL – przesylka numer: 6482694689
    Też taki dostałam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: