15:19
25/2/2019

Od wczoraj informujecie nas o e-mailach, jakie spływają na wasze skrzynki e-mail, a które są zatytułowane “informacja o zamiarze wszczęcia kontroli skarbowej”. Oto jak wygląda wiadomość:

Informacja o zamiarze wszczęcia kontroli skarbowej

Urząd Skarbowy odczytać zawiadomienie о zamiarze zainicjować kontroli w dniu 18.04.2019r. Wobec braku możliwości ustawienia kontaktu telefonicznego w dniach 4-7.04.2019r. i nie zastania podatnika w jego siedzibie w dniu 6.04.2019r. w celu ustalenia terminu wszczęcia kontroli. Urząd Skarbowy wyznacza termin zainicjować kontroli na 29.04.2019r. о godz. 9.00.
Jednoczesnie Urzqd Skarbowy informuje, ze zgodnie z art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z p6zn. zm.) w zwiqzku art. 80 ust. 1 ustawy z 2 lipca 2004 г. о swobodzie dziatalnosci gospodarczej (Dz. U. z 2007 r.. Nr 155, poz. 1095 z pozn. zm.) czynnosci kontrolnych dokonuje si$ w obecnosci kontrolowanego lub osoby przez niego upowaznionej. Oznacza to ze w wyzej wymienionym terminie jest Pani/Pan zobowiązana do obecnosci w siedzibie swojej Firmy i wspofpracy z inspektorem kontroli. Ponadto zgodnie z art. 80 ust. 3 ustawy о swobodzie dziatalnosci gospodarczej jest Pani/Pan zobowiązuje do pisemnego wskazania osoby upowaznionej do reprezentowania Pani/Pana w trakcie kontroli, w szczegolnosci w czasie Pani/Pana nieobecnosci.
Jest Pani/Pan zobowiązania do przygotowania wszystkich potrzebnych dokumentow zwiqzanych z prowadzone przez Pani/Pana Firm wymienionych w załączniku(dokumenty.rar).
Nieobecnosc Pani/Pana moze zostac uznana za stan wyczerpuje znamiona wykroczenia okreslonego w art. 98 ust. 1 pkt 3 ustawy z 13 pazdziernika 1998 r. (Dz. U. z 2007 r., Nr 11, poz. 74 z pozn. zm.).
INSPEKTOR KONTROLI
Urząd Skarbowy
mgr Marian Jakubowski

Wysyłka zaczęła się wczoraj (pierwszą próbkę otrzymaliśmy o 21:33). W e-mailu znajduje się załącznik będący archiwum .tar, które zawiera złośliwy skrypt VBS:

dokumenty.tar MD5: 08afeefa71dd1a0fc914922413f97137
dokumenty_100780911.vbs MD5: 9f50c9e82a48f228e03f54d52c7e3a5a

próbujący łączyć się na porcie 443 z adresem:

185.141.62.170 (colormessa.info)

Cześć z antywirusów już wykrywa zagrożenie (w tym polecane przez nas antywirusy, za które nie trzeba płacić):

To nie jest “nowy” atak!

Malspam jak malspam. Ale ten jest ciekawy, bo dzisiejsza kampania jest w zasadzie słowo w słowo taka sama jak kampania, którą opisywaliśmy prawie 3 lata temu w tym artykule. Konstrukcja jest taka sama, przestępcy zmienili jedynie rok w tamtej treści z 2016 na 2019, nazwisko inspektora i kilka słów na bliskoznaczne im zwroty. 3 lata temu załącznikiem był .pif.

Czy to ta sama grupa? A może ktoś skopiował stary szablon, bo w okresie “rozliczeń podatkowych” szukał czegoś dotyczącego kontroli skarbowej? Ciekawe.

Tak czy inaczej, ostrzcie (i uspokójcie) swoje księgowe i swoich prezesów. Kontroli nie będzie. Co najwyżej kontrola “antywirusowa” jeśli ktoś z Was w logach DNS znajdzie odwołania do podanej powyżej domeny…

PS. Zazwyczaj o takich atakach i złośliwych kampaniach e-mailowych ostrzegamy w osobnym, niewidocznym na głównej stronie Niebezpiecznika dziale “Aktywne Ataki”. Tym razem sprawę poruszyliśmy na głównej stronie z racji liczby zgłoszeń, które od Was w tej sprawie dostaliśmy. Atak wyglada na “bardzo szeroki”.

Przeczytaj także:

50 komentarzy

Dodaj komentarz
  1. Wczoraj o 21:00 wykrywały to tylko cztery antywirusy z virustotal ;-)

    https://zapodaj.net/23ea1b9aca572.png.html

  2. Który antywirus polecacie z tych co widoczne są na screenie wyżej? :)

    • Microsoftowego Defendera. Albo dowolny inny bezpłatny, bo są tak samo “nieskuteczne” w przypadku najnowszych zagrożeń jak płatne, więc po co płacić :)
      Dotyczy domowego użytkownika, bo w firmie AV wybiera się pod kątem jeszcze trochę innych funkcji niż tylko samo “wykrywanie malware”.

    • Mylisz się Piotrze. Mało który z darmowych produktów ma choćby ochronę dokumentów przed zmianami (anti-ransomware), w której możesz sobie dowolnie ustawić, który program może, a który nie (i w jakim miejscu) modyfikować pliki. To jest obecnie największe uprzykrzenie dla użytkownika i MS Defender kompletnie przed tym nie chroni, jak już przepuści, to hulaj dusza.

    • Ale przed ransomware inna konfiguracja natywnych ficzersow windowsa Cie uchroni. Zreszta ja nie twierdzę że darmowe AV są idealne – ja sugeruje że home user nie musi płacić za AV, bo darmowa da mu taki sam brak ochrony :)

    • Wymień choć jeden wbudowany “ficzer”, który uchroni Windowsa Home przed ransomware.

    • @Kenjiro: a do powyższego jeszcze np. Ransomware Protection.

    • @Kenjiro – podział systemu na użytkowników i świadome przydzielanie/odbieranie im uprawnień do czytania, usuwania i edycji plików. Utworzenie użytkownika sztucznego, nadanie tylko jemu uprawnień do edycji i odpalanie programów wordowych z pomocą “uruchom jako…”.

  3. “… polecane przez nas antywirusy, za które nie trzeba płacić …”
    Przypomnicie, jakie AV-y polecacie?

  4. “PS. Zazwyczaj o takich atakach i złośliwych kampaniach e-mailowych ostrzegamy w osobnym, niewidocznym na głównej stronie Niebezpiecznika dziale “Aktywne Ataki”. Tym razem sprawę poruszyliśmy na głównej stronie z racji liczby zgłoszeń, które od Was w tej sprawie dostaliśmy. Atak wyglada na “bardzo szeroki”.”

    Skoro atak wygląda na “bardzo szeroki” może jednak warto zostawić link do niego także w dziale “Aktywne Ataki”, chciałem dowiedzieć się czy napisaliście coś o tym ataku i w pierwszej chwili myślałem, że to pojedynczy “przypadek”.

    Do tego piszecie, że dział “Aktywne ataki” jest niewidoczny na stronie głównej, jednak ja go z jakiegoś powodu tam widzę ;)

    • Wpisy z AA nie są widoczne w głównej szpalcie i w głównym RSS.

  5. Po datach widac że cos jest nie tak “Wobec braku możliwości ustawienia kontaktu telefonicznego w dniach 4-7.04.2019r. i nie zastania podatnika w jego siedzibie w dniu 6.04.2019r”. A moze Back to the future?

  6. Moja księgowa jest już wystarczająco naostrzona..

  7. Witam,
    Dosłownie przed chwilą otrzymałem takiego maila.
    Zorientowałem się już po treści i adresie z którego przyszedł, że to atak. Jednak nie rozumiem dlaczego jest adresowany do kogoś innego a przyszedł do mnie. Co to może oznaczać i jak to jest możliwe?

  8. Do tego w tekście jest mowa o załaczniku .rar a załaczony jest .tar.

  9. Od kiedy windows otwiera domyślnie rozszerzenia tar?

  10. Niestety moja mama otworzyła plik. Będę w weekend przy tym komputerze. Czym przeskanowac komputer? Rozumiem, że lepiej się do czasu sprawdzenia nie logować lepiej do banku?
    A może wysłać link do jakiegoś skanera on-line? Którego, żeby amator sobie poradził?

    • Jeżeli to ransomware, a głównie takie się pojawiają w tego typu mailach to i tak sprawa jest pozamiatana – dane zaszyfrowane, informacja ile trzeba zabulić i w jakim czasie aby je odzyskać (czasami to kłamstwo i nie ma znaczenia czy się zapłaci). Ransomware po zakończeniu operacji szyfrowania usuwa się z komputera i żaden AV nic nie wykryje.

  11. Witam,
    Ustawa o swobodzie działalności gospodarczej w kwietniu 2018 roku została zastąpiona
    ustawą Prawo przedsiębiorców, dziwne że Urząd Skarbowy o tym nie wie i powołuje się
    na nieaktualny przepis.

  12. Emil , pobierz sobie ten pliczek i kliknij.
    Jeśli masz zainstalowany rar,zip, itp. to myślisz że się otworzy czy nie ?

  13. Analizował ktoś ten skrypt? Co to za plik, którego skrypt szuka na dyskach? Wujek Google nic na ten temat nie mówi. Jeśli szuka konkretnego pliku, to chyba jest wymierzony w konkretne osoby?

  14. Jak ktoś otworzy załącznik tego prymitywnego pisma to ma murowaną nagrodę Darwina

  15. Jakie środki podjąć kiedy ojciec kliknął “wyświetl” na telefonie? Nie mam już sił do niego, ile razy można mówić żeby nie otwierał takich rzeczy

    • Jeżeli telefon nie działa pod Windows Mobile to nie będziesz miał żadnej szkody, a nawet w tym systemie obsługa VBS nie jest standardowo możliwa. Już nie mówiąc o tym, że większość smartfonów nie poradzi sobie z rozpakowaniem archiwum tar.

  16. Spokojnie, będziemy ostrzyć nasze księgowe i prezesów

    • Nie mogą być tępi przecież ;) to niebezpieczne!

  17. Przecież tam jest tyle rażących błędów językowych (tłumacz Google z chińskiego), data 6.04.2019, że tylko totalny debil wziąłby to na poważnie.

  18. Witam my dostaliśmy dzisiaj w nocy

  19. Jaką amebą trzeba być, aby otwierać załączniki w takich mailach napisanych nawet nie po polsku. Przecież to wali tanim scamem na kilometr. I don’t want to live on this planet anymore…

  20. Niekoniecznie “ameby” i “debile”.
    Myślę, że na niektórych wystarczy hasło “kontrola skarbowa”, żeby przestali cokolwiek myśleć. Temat wiadomości zapewnia wyłączenie myślenia już podczas odczytywanie dwóch pierwszych zdań, gdzie daty informują, że to fake.

  21. Czy ktoś może napisać jak postąpić w przypadku otworzenia pliku?

  22. […] Jak informuje niebezpiecznik.pl, […]

  23. Witam. Jak postępować w przypadku otworzenia pliku?

  24. Niestety kolega w pracy wczoraj otworzył załącznik z końcówką .tar Avast wykrył próbę instalacji jakiegoś trojana. Skanowanie Malwarebytes oraz avastem nic nie wykazało. Czy jeszcze jakoś można sprawdzić czy doszło do zainfekowania?

  25. Piękny polski napisany ten mail.

  26. A ja załapałam się na skarbowkę i będę miał zwrot podatku za kota.

  27. Znów niezastąpiony Gmail zablokował zanim doszło :)

  28. znajomy otworzyl zalacznik, ma avasta free. co chwilę teraz komp się zawiesza. jak to naprawic bez formata

  29. Za otwieranie załączników z takich mejli należałoby kierować na przymusowe wykłady Niebezpiecznika z cyklu “Nie daj się shackować”. Proponuję petycję do naszego speca od cyberprzestrzeni, pana Macierewicza. PiS przepchnie to w jedną noc.

  30. Dziwne są te Windows. Ja przechodzę męki pańskie, bo Windows 10 mnie, administratorowi, nie pozwalają wykonywać niepodpisanych certyfikatem skryptów, ale ze skryptami przestępców Windows 10 nie robią problemów… :)

  31. Czy jeśli ojciec pobrał załącznik, ale go nie wypakował istnieje jakieś zagrożenie? Kliknął na plik 2x, ale winrar wyświetlił okno, że wersja testowa się skończyła. Później usunął plik z dysku. Plik to dokumenty.tar

  32. Czy to jest prawdziwa tresc? Slowo w slowo? Bo jak tak to kontakt telefoniczny odbyl sie w przyszlosci 4-7.04.2019. Czyli w kwietniu tego roku. A Kwietnia chyba jeszcze nie bylo. Chyba ze cos przespalem.

  33. W jednym z miejskich zakładów komunalnych w małym miasteczku (tzw zetgiek) prezes dostał tego maila i próbował otworzyć załącznik. Antywirus mu nie pozwolił, mimo że próbował go wyłączyć, więc przesłał do IT prośbę o otworzenie i sprawdzenie co US tam przesłał.

    Niestety w takich miejscach ludzie nie są przygotowani na tego typu zagrożenia.

  34. Załącznik otwierają osoby, który boją się Urzędu Skarbowego, czyli nie stosują się do przepisów podatkowych oraz nie słuchają doradców podatkowych i księgowych. Poproszę o więcej szacunku dla księgowych i ich pracy, zatrudnianie ich z chęci do partnerskiej współpracy, a nie z przymusu. Nie księgowy wymyśla przepisy.

  35. Czy napisze ktoś co zrobić z komputerem jak już się kliknie w załącznik?

  36. Witam, dostałem podobnego e-maila otwarłem go ale nie pobrałem załącznik a mimo to mam go w folderze pobrane pliki. Jak to możliwe ?? Co w takim razie ?? Nacisnąłem ” pokarz w folderze i usunąłem go ręcznie. Czy to wystarczy ??

  37. W powyższym przypadku, samo kliknięcie w załącznik nic nie powinno uruchomić tylko pobrać plik o rozszerzeniu TAR. Może też, co najwyżej otworzyć się okienko programu np. 7-Zip (WinRAR, WinZIP lub inne tego typu) pokazujące zawartość paczki TAR, w której jest szkodliwy plik skryptu. Dopiero dwuklik w tym okienku może uruchomić skrypt i coś zaszkodzić lub nie. Powyższe wyniki antywirusów pokazują chyba tylko, że plik może zawierać kod podobny do znanych im szkodliwych programów a nie dokładnie o jaki chodzi. Wtedy też, chyba nikt by nie dostał takiego załącznika.
    O tym samym temacie piszą na Z3S ale dodają jeszcze info takim samym szkodniku tzn. podobne załączniki lecz temat dot. faktur z T-mobile.
    Zresztą jeśli ktoś przeglądał załączone w obu przypadkach skrypty VB, to pewnie zauważył, że są prawie identyczne.

  38. Dzięki za ostrzeżenie wysłałem ten artykuł tacie a on na następny dzień wysłał mi zdjęcie jak przyszły mu dwa takie maile na pocztę firmową

  39. jeżeli rzeczywiście ktoś nabiera się na maila, gdzie bezokoliczniki zastępują czasowniki, a polskie znaki – litery typu Q bądź T, to stwierdzam swoje całkowite stracenie wiary w ludzkość

  40. Urzędy Skarbowe nie wysyłają na e/mail takich wiadomości. Od razu trzeba to wywalać. Pozdrawiam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: