11:22
27/5/2013

Atakujący wpadli na nowy pomysł nakłaniania internautów do otwierania niebezpiecznych załączników. Podszywają się pod usługę operatorów sieci GSM, rozsyłając e-maile o tym, że otrzymaliśmy nowego MMS-a. W załączniku nie znajdziemy jednak obiecanego zdjęcia, a złośliwe oprogramowanie.

Kiedy nie masz włączonej usługi MMS…

Większość operatorów telefonii komórkowej posiada mechanizm, który — w przypadku gdy nasz telefon nie ma włączonej transmisji danych lub aktywnej usługi MMS — wysyła nam SMS-a z informacją, że ktoś próbował nam przesłać wiadomość MMS, ale nie mogła ona zostać dostarczona. Zazwyczaj w takim SMS-ie znajduje się link do portalu sieci telefonii komórkowej oraz hasło do tymczasowej skrzynki, dzięki czemu możemy zobaczyć multimedialną wiadomość od znajomego.

Atakujący jednak działają inaczej — masowo wysyłają e-maile, podszywając się pod T-Mobile. Wiadomość wygląda tak:

nowy MMS

nowy MMS

Temat: MMS
Nadawca: noreply@mmsc.t-mobile.pl (zespoofowany — dop. red.)

Mobile: +489946751280 (losowy — dop. red.)
Passcode: H3O1XQKV (losowe — dop. red.)
Standard MMS umożliwia przesłanie wiadomości zawierających tekst, grafikę, zdjęcia, dźwięk oraz wideo pomiędzy telefonami z funkcjonalnością MMS w sposób automatyczny, zapewniając prawie natychmiastowe dostarczanie utworzonej wiadomości z jednego telefonu na inny.

oraz zawiera załącznik .ZIP, który po rozpakowaniu ujawnia plik *.jpg.exe o różnych nazwach:

FOTO_66487598.jpeg.exe
T_Mobile_MMS_FHFJG45DSw.jpg.exe
MMS_IMG 75690485.jpeg.exe

Pierwszą falę tego typu ataków odnotowaliśmy 23 kwietnia. Wykorzystywany wtedy malware jest obecnie wykrywany przez praktycznie wszystkie antywirusy (ze znanych niewykrywających: ClamAV). Wczoraj jednak atakujący, którzy najprawdopodobniej są Polakami, przypuścili kolejną falę ataków z nowym wydaniem trojana. Tym razem jest on wykrywany przez 27/47 antywirusów (z popularnych niewykrywających: Comodo i ClamAV).

Dziękujemy czytelnikom, którzy dostarczyli próbki trojana do analizy.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. gmail oznacza jako niebezpieczny, interia nie rozpoznaje zagrozenia

    • Czy brain rozpoznaje zagrożenie?

    • a propos poczty internetowej. O2 oraz onet szczyci sie pustymi skrzynkami SPAM poniewaz wszystko wpada do inboxa. dziwni ci ktorzy dalej korzystaja z tych popularnych polskich skrzynek pocztowych

    • W obecnych czasach lepiej jest samemu filtrować niż liczyć na algorytmy na serwerach. Najprawodpodobniej mało korzystasz z poczty lub masz małe wymagania.
      Po co mi filtrowanie na serwerze jak i tak trzeba zaglądać do spamu? Do spamu i tak trafiają normalne e-maile.

    • @mike Akurat ostatnio, po przeczytaniu serii artykułów
      dotyczących FSAA oraz podobnych spraw, przeszedłem z Gmaila na O2.
      Jestem w stanie tolerować gorsze filtry antspamowe oraz problemy z
      IMAP-em.

  2. Heh, no dla wprawionego oka widać że coś jest nie tak, ale dobrze że takie info poszło, kogoś pewno uratuje.

  3. Dostalem w zeszlym tygodniu. Nod rozpoznal dopiero po zapisaniu na dysku.

  4. W Orange i w Plusie ZTCP wysylane sa SMSy…

  5. W świecie gimbo ameb trzeba być wybitnie uwstecznionym osobnikiem, żeby nabierać się na sztuczki z lat dziewięćdziesiątych ubiegłego stulecia… Witki mi opadły.

    • Hehe… Miałem napisać cosik w podobnej koncepcji ;)

      PS. Może ktoś polecić securit-a na Andka – jestem ciekaw co polecicie ;) Obecnie używam Dr.Web-a – jestem wprawdzie zadowolony, ale może jest cosik lepsiejszego ;)

    • A co powiesz u użytkownikach, którzy nie są zaawansowani.
      Dla nas wszystko jest jasne i oczywiste. Dla nich wysłanie maila to
      już czasami jest problem. Ikonkę przesuniesz i już się gubią. I to
      na takich ludzi jest pułapka. Nie na dzieci lecz na osoby 40+ a
      zwłaszcza kobiety, które stronią od techniki

    • @beny: “A co powiesz u użytkownikach, którzy nie są
      zaawansowani.(…)” DOKLADNIE! Wkurza mnie juz powoli jak widze
      samych ekspertow (bez ironii), ktorzy zawodowo zajmuja sie
      bezpieczenstwem komputerowym i nabijaja sie z ludzi, dla ktorych
      komputer jest pieprzonym narzedziem pracy, jak mlotek, czy samochod
      i ma po prostu DZIALAC. Oni nie wiedza co to jest “.jpg”, “.exe” i
      jak dzialaja filtry antyspamowe. Chca po prostu wyslac/odebrac
      maila i miec swiety spokoj. I, prosze, nie uzywajcie porownan w
      stylu “kazdego narzedzia trzeba umiec uzywac”, bo (niestety)
      umiejetnosci konieczne do obslugi samochodu, czy wiertarki sa
      nieporownywalnie mniejsze do tych, ktorymi trzeba sie wykazac, zeby
      korzystac z komputera i omijac setki pulapek, zastawionychw necie
      na casualowych userow. Pamietajcie tez, ze wiekszosc ludzi jest do
      uzywania komputerow w dzisiejszych czasach po prostu zmuszona i
      czesto chca miec z nimi jak najmniej wspolnego, bo maja inne
      zainteresowania. I ja nie mam zamiaru ich z tego powodu
      wysmiewac.

  6. A wystarczy w panelu sterowania wyczyścić checkbox ” ukryj rozszerzenia znanych typów plików”. Myślenie bardzo dobrze uzupełnia działanie każdego antywirusa :-)

    • Pewnie i wystarczy, ale każdy średnio obyty z komputerem,
      chcąc zmienić nazwę np pliku w wordzie wpadnie w panikę, że ten
      plik przestał się otwierać. Jest duże prawdopodobieństwo, że
      użytkownik, który “dał się nabrać” na sztuczkę z takim mailem nie
      ma pojęcia co to są rozszerzenia plików

    • Odpowiednie (bezpieczne) ustawienia domyślne oprogramowania
      są w stanie uzupełnić procesy myślowe. Naprawdę w Win7 jest to
      domyślnie wyłączone (nie jestem w stanie sprawdzić)?

    • *włączone

  7. ciekaw jestem analizy tego malware, tj. co zbiera, ile mają C%C i takie tam:P

    • Jest dobrze. Kasa na jacht z lachonowa wkladka plynie strumieniami.

    • Jak bedzie on działał na większą skale może doczekamy się analizy od polskiego CERTu.

  8. @Andrzej:
    Moim zdaniem niewiedza odnośnie rozszerzeń wynika właśnie z ich ukrywania. Mogę się mylić, w każdym razie masz rację, że ludzie często nie mają o nich pojęcia. Zauważ jednak, co się stanie gdy zechcesz zmienić nazwę jakiegoś pliku: do zmiany zaznacza się tylko nazwa, rozszerzenie pozostaje poza zaznaczeniem, więc nie powinien to być problem nawet dla zwykłego klikacza.

    • Słusznie, trochę na wyrost napisałem – poza zaznaczeniem samej nazwy jest przecież jeszcze ostrzeżenie o zmianie rozszerzenia pliku.
      Swoją drogą, że u zwykłych klikaczy wyrobił się dziwny nawyk zamykania wszystkich “niespodziewanych” okienek bez przeczytania treści.

    • Zamykanie okienek iksem jak najbardziej można zrozumieć i jest to normalny nawyk.
      Dziwnym nawykiem byłoby zatwierdzanie bez czytania.

  9. Czemu w t-mobile nie ma żadnego sprytnego postmastera,
    który ustawiłby w SPF ~all na -all, co by z automatu wycięło i
    praktycznie wyeliminowało problem. Ile można testować SPF? Dzień,
    dwa ale nie w nieskonczoność. Choć ja na swoim serwerze i tak
    wycinam wszystkie maile wysłane poza tymi zdefiniowanymi w SPF
    nawet w trybie test. Zero tolerancji :).

    • Wydaje mi się, że SPF chroni tylko adres kopertowy, a nie
      nagłówek From: do którego można wpisać cokolwiek, a który jest
      najczęściej pokazywany przez programy pocztowe jako nadawca
      wiadomości. Nie znam żadnej prostej i wygodnej metody, żeby się
      zabezpieczyć przed spoofowaniem nagłówka From:.

  10. jezu otwieram a tu reklama prawie na strone i ledwie 5 linijek tekstu (nexus 7). moze by jakos zrezygnowac z reklam co panowie? ile w koncu kosztuje hosting…zrobimy ew sciepe. sorry za offtopic…

    • tu jest jakas reklama? lol

    • Khy khy, no script.

  11. Nie tylko pod T-Mobile się podszywają. Na adres na gmx.com
    dostałem takie coś niby od vodafone’a

  12. ja dostałem już kilka takich e-maili między innymi niby od
    t-mobile i vodafone

  13. jpg.exe Uśmiałam się.

    • Nie masz się z czego śmiać. Były wirusy w plikach *.jpg, *.ani, *.swf, *.pdf i javie. Obecnie wyświetlasz sobie stronę i dostajesz wirusa w gratisie bez żadnej dodatkowej interakcji. Nawet antywirusy nie pomagają, bo nie mają nowości w swoich bazach.

  14. Wiem, że wirus może być w pliku o “niewinnie” wyglądającym formacie, ale “zdjęcie” jako .exe to jednak grubymi nićmi szyte.

  15. Mejle przychodzą nie tylko z T-Mobile,ale również z
    Vodafone.de. Wczoraj usunąłem dwa takie mejle z
    załącznikami.

  16. msi nie lepsze? albo bat chociaż?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: