11:07
1/8/2018

Jeden z Czytelników stał się celem bardzo ciekawego ukierunkowanego ataku autorstwa polskiego atakującego. Oto wiadomość jaką otrzymał:

Temat: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu.
Data: Wed, 01 Aug 2018 09:26:14 +0200
Nadawca: Mbank Polska mbank24@zoho.eu
Adresat: mbank24 mbank24@zoho.eu

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.
Tytułem : NR 0013210/18 – Przelew Krajowy.
Typ : Z potwierdzeniem email na odbiorcę.

W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Zobacz potwierdzenie.
Potwierdzenie dostępne również w załączeniu (.pdf)

Więcej informacji na temat szczegółów przelewu uzyskasz w swoim “Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat “Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie www.mbank.pl.

Link w wiadomości prowadzi pod adres:
https://wrzucacz[.]pl/download/9191533107809

Skąd pobierany jest plik PDF (niegroźny) o nazwie:
Mbank -(cert) Potwierdzenie przelewu NR 00-01123-18.pdf
(MD5: 66ef173e1419751c1b784ab456e5b7b1)

i zawartości jak niżej:

Link w PDF kieruje pod adres skracacza:
http://skroc[.]net/ddi

skąd ofiara jest przekierowywana do:
https://wrzucacz[.]pl/download/2581533059228

A stąd pobierany jest plik o nazwie:
Adobe Acrobat Reader Update - 2018.2.34.zip
MD5: 9787efccc106bfe284b42f23455e1743

zawierający plik .exe:
Adobe Acrobat Reader Update - 2018.2.34
MD5: 8f7664754db7652d04e844c70dd1ec15

którego uruchomienie wcale nie zaktualizuje Acrobat Readera, a spowoduje infekcję komputera złośliwym oprogramowaniem, które obecnie jest dość słabo rozpoznawane przez antywirusy, ale zdetonowanie w sandboksie nie pozostawia złudzeń — to trojan.

Po uruchomieniu nawiązuje połączenie z adresem IP:
213.152.161.35 tcp/9187

oraz domeną:
watermellons.ddns.net

Co ciekawe, do tej samej domeny odwoływał się 2 miesiące temu plik:

InPost Opłata - 28.05.2018- Faktura.doc


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Powinien jeszcze dopisać do RODO, że wymaga Adobe ( ͡° ͜ʖ ͡°)

  2. coś mBank ostatnio na fali..

    • Jak mBank jak to jakas podpucha… w sumie moglby probowac z kazdego… ale ze uzywa mBanku to moze klient? ;)

  3. Ciekawe czemu atakujący wybierają najczęściej klientów mBanku.

    • Pewnie nie ma to nic wspólnego z tym, że to jeden z największych banków w Polsce i jest obsługiwany głównie przez internet.

    • Atakujący nie wybierają żadnych klientów – maile są wysyłane jak leci do losowych osób.

    • Bo pewnie ma bazę mejli klientów tego banku.

  4. I pobrań coś było jak to jest to https://wrzucacz.pl/
    W plikach L i H jest binarny .text a w nim pod koniec :
    C:\Users\Kris\source\repos\Project7\Project7\obj\Debug\Project7.pdb – Czy to jest ścieżka na komputerze piszącego to cudo ?

    • Pewnie tak, zaraz sie okaze, ze robi te same bledy co ten idiota armagedon i tylko kwestia czasu jest kiedy sie przedstawi z imienia i nazwiska w swoich wypocinach.

    • To może być fake aby zkierować ślady na usera windowsa

  5. I co robi ten trojan po nawiązaniu połączenia?

    • Oferuje zdalny dostęp do komputera, podglądanie przez kamerę, dostęp do plików itp.

  6. Jakiej aplikacji używacie do “detonacji”? Resource Explorer?

    • Używają strony “hybrid-analalysis” czy jakoś tak

  7. W przytoczonym obrazku trzy rzeczy podpowiadają, że jest to fake.
    1. Domena.
    2. Błędy.
    3. Brak konsekwencji w pisowni.

  8. Pojawiła się nowa wersja aktualizująca “Adobe Acrobat Reader – Aktualizacja 9188.02.18”.
    Nowe pliki i “inflate 1.2.8 “-zapis w binarce można powiedzieć program się rozwija to chyba w tym przypadku źle.

Odpowiadasz na komentarz Qwertys

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: