17:17
16/10/2018

Na adresy polskich firm rozsyłana jest ciekawa wiadomość z fakturą. W e-mailu brak załącznika, bo — jak informuje nadawca — ze względu na RODO faktura została przesłana w linku. Link w istocie jest, ale nie prowadzi do faktury, ale do sprytnego ataku…

RODO jako zarzutka

Znamy wiele kretynizmów, które tłumaczono za pomocą RODO. Niektórzy niestety wierzą i robią wszystko co im się powie, jeśli na końcu doda się “bo RODO”. RODO niektórym wyłącza myślenie. Dlatego obawiamy się, że na ten numer sporo firm może się dać nabrać. A atak jest ciekawy…

Wszystko zaczyna się od e-maila, w którym poza wspomnieniem RODO nie ma niczego specjalnego:

Witam,
przesyłam faktura VAT nr. 32/2018. Ze względu na przepisy RODO fakturę przesyłam w linku.

http://multico.5v[.]pl/faktury/f-ra_32-2018.pdf


Z poważaniem / Regards

Marta Wesołowska

Multicco Sp. z o.o. Sp. K.
Słoneczna 23
02-653 Warszawa
tel.: 795-795-140

Ale zabawa zaczyna się po kliknięciu w link. Oczom ofiary ukaże się taka piękna strona internetowa imitująca program Acrobat Reader:

Po kliknięciu na przycisk “Pobierz wtyczkę” ofiara kierowana jest pod adres:

http://adobe.5v[.]pl/AdobeUpdate.exe

Program nie jest jednak “wtyczką do Acrobat Readera” a trojanem/RAT-em, póki co rozpoznawanym tylko przez 6 antywirusów. Po starcie, w złośliwy sposób modyfikuje rejestr Windowsa i łączy się z hostem:

ola100.hopto.org 51.254.56.13

Ostrzeż księgową

Oceniamy, że połączenie tak sprytnej argumentacji i “udawania Acrobat Readera” zbierze niemałe żniwo. Dlatego sugerujemy Wam przesłać linka do tego posta znajomym księgowym, właścicielom firm i innym pracownikom, którzy obsługują skrzynki typu “biuro” i “kontakt”.

A skoro jesteśmy już przy księgowych, to warto je też odesłać do naszego wcześniejszego artykułu pt. “6 rad jak bezpiecznie wykonywać firmowe przelewy“.

Kontynuacja wcześniejszego ataku?

Co ciekawe, o ile ta kampania rozpoczęła się dziś o 12:00, to dzięki uprzejmości Cisco Polska i ich narzędziom analitycznym, mamy informację, że Polacy domenę adobe.5v[.]pl (czyli tę, na której hostowany jest malware) rozwiązywali już w czwartek, 11 października.

Istnieje więc spora szansa, że w zeszłym tygodniu po sieci krążyły inne e-maile odsyłające do “aktualizacji Acrobat Readera“. Może ktoś z czytelników je ma w swojej skrzynce? Z chęcią na nie rzucimy okiem — podsyłajcie po spakowaniu na hasło “virus” :)

IOC dla tej kampanii

Dropper:
MD5 5e1a8f636289ff11326a2d091a54c8f3
SHA-1 514be685433419d2b91f18bbfee06cce3aecfe27

Dystrybucja:
multico.5v.pl is an alias for host1.5v.pl.
host1.5v.pl has address 94.130.231.244
adobe.5v.pl is an alias for host1.5v.pl.
host1.5v.pl has address 94.130.231.244

C&C:
ola100.hopto.org 51.254.56.13

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Nie do końca zgodzę się z autorem tekstu co do skuteczności takiej kombinacji. Szczególnie w dużych korporacjach mocno uczula się ludzi, żeby nie klikać w żadne linki, jeśli nie zna się odbiorcy. Ogólnie można chyba zaryzykować stwierdzenie, że jeśli komuś po otrzymaniu maila z prośbą o kliknięcie w link nie zapala się od razu lampka ostrzegawcza, to i tak nic już tej osobie nie pomoże :)

    W firmie, w której pracuję, większość maili przychodzi na skrzynkę generyczną. Ponieważ jest tego od groma, codziennie kilka osób przez paręgodzin rozdziela te maile do odpowiednich kolejek. Żeby ocenić, jaka kolejka jest właściwa, trzeba tylko zorientować się, jakiego kraju dany email dotyczy. Przy tym, co do zasady nie klika się w żadne linki, natomiast jeśli email posiada załącznik, to większość osób od razu go otwiera, żeby sprawdzić, z jakiego kraju jest przysłany dokument. Nie dzieje się tak w zasadzie wyłącznie w przypadku poczty z adresów zakończonych skrótem danego kraju albo, kiedy nazwa kraju jest w stopce. No i oczywiście, jeśli ktoś rozpozna język, w którym email został napisany, ale jeśli jest to angielski, to nie ma żadnej podpowiedzi i pozostaje sprawdzić, co też się kryje w załączniku ;)

    • Uczulanie uczulaniem, ale jeżeli masz przemęczonego człowieka, który jak robot wykonuje kolejne polecenia aby mieć chwilę spokoju (tortury pracownicze) – to klika we wszystko jak leci. Ja nawet do dentysty chodzę przed 12:00 bo nie mam ochoty aby mnie fixował ktoś przemęczony. Zacznijmy dbać o ludzi, a interes sam o siebie zadba, bo nawet miliard szkoleń tu nie pomoże.

    • Marku, autorzy tekstu zawodowo atakują pracowników “dużych korporacji” i doskonale wiedzą, jaką skuteczność mają te “uczulenia”. Kampanię podnoszenia świadomości pracowników można zrobić dobrze i skutecznie (to temat na godzinny wykład — i dokładnie o tym będę mówił na tegorocznym Secure ;), ale generalnie gdyby nie odpowiednie rozwiązania techniczne (antyspamy, whitelistingi i antywirusy) to sytuacja wyglądałaby tragicznie. A tak, wygląda tylko źle. Nie warto uogólniać — to że u Ciebie macie system z “generyczną skrzynką” to nie znaczy, że tak nieskalowalny model da się zastosować u innych… My obserwujemy wyższe ratio ofiar np. w zależności od pory wysłania wiadomości, treści ostatniego akapitu i paru innych parametrów. Łapią się nawet szefowie działów bezpieczeństwa. Bo na skuteczność ataku wpływa bardzo wiele rzeczy, ale to nie miejsce na tego typu dyskusję – nie ma co uczyć atakujących jak w 3 krokach podnieść efektywność kampanii malspamu ;)

    • Wobec faktu że, dziś rzadko łamie się zabezpieczenia tylko omija, nie należy się spodziewać zaawansowanych technik. Z mojego doświadczenia wynika że im prościej (oraz powszechniej) tym skuteczniej. A zapalona “lampka ostrzegawcza” jest zależna od tylu czynników (od psychiki, poprzez społeczna aż do technicznych) że naprawdę trudno jest tu o jakąkolwiek wartościową ocenę.

      Jako ekspert, zdarza mi się prowadzić zajęcia (darmowe – dla szkół) gdzie uczniowie klas technicznych mają do rozwiązania przykłądowy test zawierający 10 maili z których część jest “fałszywkami”. Zauważyłem że w mailach bardziej skomplikowanych, uczniowie skupiają się i często rozwiązują je prawidłowo, natomiast zdarza się że, nie zwracają uwagi na zwykłe “rnbank.pl” – klikając.

      Wniosek:
      Nawet osoba zorientowana technicznie, może być po prostu czasem nieuważna. I ten fakt powinien przewidzieć, dobry admin. Nie zmienia to faktu że, za przestępcami, jesteśmy zawsze o krok za nimi.

  2. > dzięki uprzejmości Cisco Polska i ich narzędziom analitycznym, mamy informację, że Polacy domenę […] rozwiązywali już w czwartek

    Brzmi jakby Cisco szpiegowało ludzi przez swoje urządzenia i kopsnęli wam jakieś dane po znajomości ;-)

    • Nic bardziej mylnego. Te dane akurat pochodzą z DNS-ów, które są pod kontrolą Cisco.

  3. Zgadzam się w całej rozciągłości. Chodziło mi raczej o to, że w powszechnej świadomości linki są jednak bardziej “niebezpieczne” od załączników. Jakoś częściej się o tym wspomina, no i hasło “nie klikaj w co popadnie” jest bardziej sugestywne niż tłumaczenie, że załącznik może zawierać trojana.
    Chyba też zostałem opacznie zrozumiany z tą skrzynką generyczną. Bynajmniej nie uważam jej za atut, a raczej najsłabsze ogniwo całego systemu. Niemniej, z tego co wiem, spośród tych, co sortują maile, nikt linków nie otwiera. Tym się zajmują dopiero właściwi adresaci :)

  4. Ten przycisk nie nazywa się “Pobierz wtyczkę”, jak piszecie, tylko “Pobierz wtyczke”. Widać, że przestępcy są sprytni, ale jednak głąby.

  5. To powiem że każdy z branży medycznej otworzy ten plik. Szczególnie szpitale i mniejsze gabinety gdyż tam prawie każda formułka RODO włącza u ludzi nie pokój.

    Dobrze że napisałeś bo mogłem to podesłać do znajomych – nie lekceważcie prostych trików bo człowiek w stresie jest głupi. A nie każdy myśli o tym że Anti-Virus jest lekiem na całe zło.

    • Jak nie pokój to kuchnia.

  6. Całe rodo przypomina jeden wielki atak. :D Zapowiedzi i formułki na wszelkich infoliniach zabijają. Ciągle dostajemy prośby o potwierdzenie rodo :D I tak to spowszedniało ze wszyscy podpisują klikają i idą dalej z zamkniętymi oczami. Śliczna furtka do ataków się otwarła.
    Rodo mają dość firmy ale i konsumenci….

    • Ja wszystkie popupy, czy banery z rodo kasuję. Nigdy nie zgadzam się.

  7. Pojawiło się przekierowanie na https, mają nieważny (wygasły) certyfilat

  8. Które 6 antywirusów jest lepszych od pozostałych 50?

  9. Eset blokuje url.

  10. 51.254.56.13- dobrze znany adres ransomware, przy prawidłowo ustawionym firewallu i antywirusie nic stamtąd nie powinno dostać się do twojej poczty. Gorzej z pozostałymi- dzierżawione serwery od firmy Hetzner Online, dopóki ktoś ich nie powiadomi, plik będzie dostępny.

  11. Chyba zaczeło się coś nowego:
    Temat:[tu mój email] is hacked
    Hello!

    My nickname in darknet is dan56.
    I hacked this mailbox more than six months ago, through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.
    […]
    Oh my god! You are so funny and excited!
    […]
    If you are of the same opinion, then I think that $824 is quite a fair price to destroy the dirt I created.

    Send the above amount on my BTC wallet (bitcoin): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
    —-

    No już biegnę lecę nogi łamie;))

  12. Czy poza systemem Microsoft Windows jest jakikolwiek inny system,
    który można zaatakować w opisany wyżej sposób?
    Pytam, bo od Androida, poprzez IOS, MacOS, Linuxa aż po OpenBSD takiego ataku albo przeprowadzić się nie da, bądź jest to mocno utrudnione względem tego, co piszecie powyżej.

    Pozdro

  13. Nawet jeżeli używacie Wingrozy, “bo Pani Zosia nie umie niczego innego obsłużyć”, to jest na wszelkie podobne zagrywki BANALNY sposób. Pani Zosi dajemy oczywiście konto o uprawnieniach standardowych, i BLOKUJEMY (przez gpedit.msc, o ile dobrze pamiętam – nie jestem już długo użytkownikiem Windowsa, ewentualnie przez uprawnienia NTFS) możliwość wykonywania jakichkolwiek plików wykonywalnych poza C:\WINDOWS, C:\Program Files i C:\Program Files (x86) (i ewentualnie innymi folderami systemowymi). Oczywiście konto Pani Zosi nie może zapisywać w tych katalogach. I po problemie :)

    • Wcale nie, bo wiele programów systemowych posiada możliwość pobrania bądź odpalenia złośliwego ładunku – patrz projekt o wdzięcznej nazwie “LOLBAS”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.