27/5/2013
Atakujący wpadli na nowy pomysł nakłaniania internautów do otwierania niebezpiecznych załączników. Podszywają się pod usługę operatorów sieci GSM, rozsyłając e-maile o tym, że otrzymaliśmy nowego MMS-a. W załączniku nie znajdziemy jednak obiecanego zdjęcia, a złośliwe oprogramowanie.
Kiedy nie masz włączonej usługi MMS…
Większość operatorów telefonii komórkowej posiada mechanizm, który — w przypadku gdy nasz telefon nie ma włączonej transmisji danych lub aktywnej usługi MMS — wysyła nam SMS-a z informacją, że ktoś próbował nam przesłać wiadomość MMS, ale nie mogła ona zostać dostarczona. Zazwyczaj w takim SMS-ie znajduje się link do portalu sieci telefonii komórkowej oraz hasło do tymczasowej skrzynki, dzięki czemu możemy zobaczyć multimedialną wiadomość od znajomego.
Atakujący jednak działają inaczej — masowo wysyłają e-maile, podszywając się pod T-Mobile. Wiadomość wygląda tak:
Temat: MMS
Nadawca: noreply@mmsc.t-mobile.pl (zespoofowany — dop. red.)Mobile: +489946751280 (losowy — dop. red.)
Passcode: H3O1XQKV (losowe — dop. red.)
Standard MMS umożliwia przesłanie wiadomości zawierających tekst, grafikę, zdjęcia, dźwięk oraz wideo pomiędzy telefonami z funkcjonalnością MMS w sposób automatyczny, zapewniając prawie natychmiastowe dostarczanie utworzonej wiadomości z jednego telefonu na inny.
oraz zawiera załącznik .ZIP, który po rozpakowaniu ujawnia plik *.jpg.exe o różnych nazwach:
FOTO_66487598.jpeg.exe
T_Mobile_MMS_FHFJG45DSw.jpg.exe
MMS_IMG 75690485.jpeg.exe
Pierwszą falę tego typu ataków odnotowaliśmy 23 kwietnia. Wykorzystywany wtedy malware jest obecnie wykrywany przez praktycznie wszystkie antywirusy (ze znanych niewykrywających: ClamAV). Wczoraj jednak atakujący, którzy najprawdopodobniej są Polakami, przypuścili kolejną falę ataków z nowym wydaniem trojana. Tym razem jest on wykrywany przez 27/47 antywirusów (z popularnych niewykrywających: Comodo i ClamAV).
Dziękujemy czytelnikom, którzy dostarczyli próbki trojana do analizy.
gmail oznacza jako niebezpieczny, interia nie rozpoznaje zagrozenia
Czy brain rozpoznaje zagrożenie?
a propos poczty internetowej. O2 oraz onet szczyci sie pustymi skrzynkami SPAM poniewaz wszystko wpada do inboxa. dziwni ci ktorzy dalej korzystaja z tych popularnych polskich skrzynek pocztowych
W obecnych czasach lepiej jest samemu filtrować niż liczyć na algorytmy na serwerach. Najprawodpodobniej mało korzystasz z poczty lub masz małe wymagania.
Po co mi filtrowanie na serwerze jak i tak trzeba zaglądać do spamu? Do spamu i tak trafiają normalne e-maile.
@mike Akurat ostatnio, po przeczytaniu serii artykułów
dotyczących FSAA oraz podobnych spraw, przeszedłem z Gmaila na O2.
Jestem w stanie tolerować gorsze filtry antspamowe oraz problemy z
IMAP-em.
Heh, no dla wprawionego oka widać że coś jest nie tak, ale dobrze że takie info poszło, kogoś pewno uratuje.
Dostalem w zeszlym tygodniu. Nod rozpoznal dopiero po zapisaniu na dysku.
W Orange i w Plusie ZTCP wysylane sa SMSy…
W świecie gimbo ameb trzeba być wybitnie uwstecznionym osobnikiem, żeby nabierać się na sztuczki z lat dziewięćdziesiątych ubiegłego stulecia… Witki mi opadły.
Hehe… Miałem napisać cosik w podobnej koncepcji ;)
PS. Może ktoś polecić securit-a na Andka – jestem ciekaw co polecicie ;) Obecnie używam Dr.Web-a – jestem wprawdzie zadowolony, ale może jest cosik lepsiejszego ;)
A co powiesz u użytkownikach, którzy nie są zaawansowani.
Dla nas wszystko jest jasne i oczywiste. Dla nich wysłanie maila to
już czasami jest problem. Ikonkę przesuniesz i już się gubią. I to
na takich ludzi jest pułapka. Nie na dzieci lecz na osoby 40+ a
zwłaszcza kobiety, które stronią od techniki
@beny: “A co powiesz u użytkownikach, którzy nie są
zaawansowani.(…)” DOKLADNIE! Wkurza mnie juz powoli jak widze
samych ekspertow (bez ironii), ktorzy zawodowo zajmuja sie
bezpieczenstwem komputerowym i nabijaja sie z ludzi, dla ktorych
komputer jest pieprzonym narzedziem pracy, jak mlotek, czy samochod
i ma po prostu DZIALAC. Oni nie wiedza co to jest “.jpg”, “.exe” i
jak dzialaja filtry antyspamowe. Chca po prostu wyslac/odebrac
maila i miec swiety spokoj. I, prosze, nie uzywajcie porownan w
stylu “kazdego narzedzia trzeba umiec uzywac”, bo (niestety)
umiejetnosci konieczne do obslugi samochodu, czy wiertarki sa
nieporownywalnie mniejsze do tych, ktorymi trzeba sie wykazac, zeby
korzystac z komputera i omijac setki pulapek, zastawionychw necie
na casualowych userow. Pamietajcie tez, ze wiekszosc ludzi jest do
uzywania komputerow w dzisiejszych czasach po prostu zmuszona i
czesto chca miec z nimi jak najmniej wspolnego, bo maja inne
zainteresowania. I ja nie mam zamiaru ich z tego powodu
wysmiewac.
A wystarczy w panelu sterowania wyczyścić checkbox ” ukryj rozszerzenia znanych typów plików”. Myślenie bardzo dobrze uzupełnia działanie każdego antywirusa :-)
Pewnie i wystarczy, ale każdy średnio obyty z komputerem,
chcąc zmienić nazwę np pliku w wordzie wpadnie w panikę, że ten
plik przestał się otwierać. Jest duże prawdopodobieństwo, że
użytkownik, który “dał się nabrać” na sztuczkę z takim mailem nie
ma pojęcia co to są rozszerzenia plików
Odpowiednie (bezpieczne) ustawienia domyślne oprogramowania
są w stanie uzupełnić procesy myślowe. Naprawdę w Win7 jest to
domyślnie wyłączone (nie jestem w stanie sprawdzić)?
*włączone
ciekaw jestem analizy tego malware, tj. co zbiera, ile mają C%C i takie tam:P
Jest dobrze. Kasa na jacht z lachonowa wkladka plynie strumieniami.
Jak bedzie on działał na większą skale może doczekamy się analizy od polskiego CERTu.
@Andrzej:
Moim zdaniem niewiedza odnośnie rozszerzeń wynika właśnie z ich ukrywania. Mogę się mylić, w każdym razie masz rację, że ludzie często nie mają o nich pojęcia. Zauważ jednak, co się stanie gdy zechcesz zmienić nazwę jakiegoś pliku: do zmiany zaznacza się tylko nazwa, rozszerzenie pozostaje poza zaznaczeniem, więc nie powinien to być problem nawet dla zwykłego klikacza.
Słusznie, trochę na wyrost napisałem – poza zaznaczeniem samej nazwy jest przecież jeszcze ostrzeżenie o zmianie rozszerzenia pliku.
Swoją drogą, że u zwykłych klikaczy wyrobił się dziwny nawyk zamykania wszystkich “niespodziewanych” okienek bez przeczytania treści.
Zamykanie okienek iksem jak najbardziej można zrozumieć i jest to normalny nawyk.
Dziwnym nawykiem byłoby zatwierdzanie bez czytania.
Czemu w t-mobile nie ma żadnego sprytnego postmastera,
który ustawiłby w SPF ~all na -all, co by z automatu wycięło i
praktycznie wyeliminowało problem. Ile można testować SPF? Dzień,
dwa ale nie w nieskonczoność. Choć ja na swoim serwerze i tak
wycinam wszystkie maile wysłane poza tymi zdefiniowanymi w SPF
nawet w trybie test. Zero tolerancji :).
Wydaje mi się, że SPF chroni tylko adres kopertowy, a nie
nagłówek From: do którego można wpisać cokolwiek, a który jest
najczęściej pokazywany przez programy pocztowe jako nadawca
wiadomości. Nie znam żadnej prostej i wygodnej metody, żeby się
zabezpieczyć przed spoofowaniem nagłówka From:.
jezu otwieram a tu reklama prawie na strone i ledwie 5 linijek tekstu (nexus 7). moze by jakos zrezygnowac z reklam co panowie? ile w koncu kosztuje hosting…zrobimy ew sciepe. sorry za offtopic…
tu jest jakas reklama? lol
Khy khy, no script.
Nie tylko pod T-Mobile się podszywają. Na adres na gmx.com
dostałem takie coś niby od vodafone’a
ja dostałem już kilka takich e-maili między innymi niby od
t-mobile i vodafone
jpg.exe Uśmiałam się.
Nie masz się z czego śmiać. Były wirusy w plikach *.jpg, *.ani, *.swf, *.pdf i javie. Obecnie wyświetlasz sobie stronę i dostajesz wirusa w gratisie bez żadnej dodatkowej interakcji. Nawet antywirusy nie pomagają, bo nie mają nowości w swoich bazach.
Wiem, że wirus może być w pliku o “niewinnie” wyglądającym formacie, ale “zdjęcie” jako .exe to jednak grubymi nićmi szyte.
Mejle przychodzą nie tylko z T-Mobile,ale również z
Vodafone.de. Wczoraj usunąłem dwa takie mejle z
załącznikami.
msi nie lepsze? albo bat chociaż?