11:22
27/5/2013

Atakujący wpadli na nowy pomysł nakłaniania internautów do otwierania niebezpiecznych załączników. Podszywają się pod usługę operatorów sieci GSM, rozsyłając e-maile o tym, że otrzymaliśmy nowego MMS-a. W załączniku nie znajdziemy jednak obiecanego zdjęcia, a złośliwe oprogramowanie.

Kiedy nie masz włączonej usługi MMS…

Większość operatorów telefonii komórkowej posiada mechanizm, który — w przypadku gdy nasz telefon nie ma włączonej transmisji danych lub aktywnej usługi MMS — wysyła nam SMS-a z informacją, że ktoś próbował nam przesłać wiadomość MMS, ale nie mogła ona zostać dostarczona. Zazwyczaj w takim SMS-ie znajduje się link do portalu sieci telefonii komórkowej oraz hasło do tymczasowej skrzynki, dzięki czemu możemy zobaczyć multimedialną wiadomość od znajomego.

Atakujący jednak działają inaczej — masowo wysyłają e-maile, podszywając się pod T-Mobile. Wiadomość wygląda tak:

nowy MMS

nowy MMS

Temat: MMS
Nadawca: noreply@mmsc.t-mobile.pl (zespoofowany — dop. red.)

Mobile: +489946751280 (losowy — dop. red.)
Passcode: H3O1XQKV (losowe — dop. red.)
Standard MMS umożliwia przesłanie wiadomości zawierających tekst, grafikę, zdjęcia, dźwięk oraz wideo pomiędzy telefonami z funkcjonalnością MMS w sposób automatyczny, zapewniając prawie natychmiastowe dostarczanie utworzonej wiadomości z jednego telefonu na inny.

oraz zawiera załącznik .ZIP, który po rozpakowaniu ujawnia plik *.jpg.exe o różnych nazwach:

FOTO_66487598.jpeg.exe
T_Mobile_MMS_FHFJG45DSw.jpg.exe
MMS_IMG 75690485.jpeg.exe

Pierwszą falę tego typu ataków odnotowaliśmy 23 kwietnia. Wykorzystywany wtedy malware jest obecnie wykrywany przez praktycznie wszystkie antywirusy (ze znanych niewykrywających: ClamAV). Wczoraj jednak atakujący, którzy najprawdopodobniej są Polakami, przypuścili kolejną falę ataków z nowym wydaniem trojana. Tym razem jest on wykrywany przez 27/47 antywirusów (z popularnych niewykrywających: Comodo i ClamAV).

Dziękujemy czytelnikom, którzy dostarczyli próbki trojana do analizy.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

34 komentarzy

Dodaj komentarz
  1. gmail oznacza jako niebezpieczny, interia nie rozpoznaje zagrozenia

    • Czy brain rozpoznaje zagrożenie?

    • a propos poczty internetowej. O2 oraz onet szczyci sie pustymi skrzynkami SPAM poniewaz wszystko wpada do inboxa. dziwni ci ktorzy dalej korzystaja z tych popularnych polskich skrzynek pocztowych

    • W obecnych czasach lepiej jest samemu filtrować niż liczyć na algorytmy na serwerach. Najprawodpodobniej mało korzystasz z poczty lub masz małe wymagania.
      Po co mi filtrowanie na serwerze jak i tak trzeba zaglądać do spamu? Do spamu i tak trafiają normalne e-maile.

    • @mike Akurat ostatnio, po przeczytaniu serii artykułów
      dotyczących FSAA oraz podobnych spraw, przeszedłem z Gmaila na O2.
      Jestem w stanie tolerować gorsze filtry antspamowe oraz problemy z
      IMAP-em.

  2. Heh, no dla wprawionego oka widać że coś jest nie tak, ale dobrze że takie info poszło, kogoś pewno uratuje.

  3. Dostalem w zeszlym tygodniu. Nod rozpoznal dopiero po zapisaniu na dysku.

  4. W Orange i w Plusie ZTCP wysylane sa SMSy…

  5. W świecie gimbo ameb trzeba być wybitnie uwstecznionym osobnikiem, żeby nabierać się na sztuczki z lat dziewięćdziesiątych ubiegłego stulecia… Witki mi opadły.

    • Hehe… Miałem napisać cosik w podobnej koncepcji ;)

      PS. Może ktoś polecić securit-a na Andka – jestem ciekaw co polecicie ;) Obecnie używam Dr.Web-a – jestem wprawdzie zadowolony, ale może jest cosik lepsiejszego ;)

    • A co powiesz u użytkownikach, którzy nie są zaawansowani.
      Dla nas wszystko jest jasne i oczywiste. Dla nich wysłanie maila to
      już czasami jest problem. Ikonkę przesuniesz i już się gubią. I to
      na takich ludzi jest pułapka. Nie na dzieci lecz na osoby 40+ a
      zwłaszcza kobiety, które stronią od techniki

    • @beny: “A co powiesz u użytkownikach, którzy nie są
      zaawansowani.(…)” DOKLADNIE! Wkurza mnie juz powoli jak widze
      samych ekspertow (bez ironii), ktorzy zawodowo zajmuja sie
      bezpieczenstwem komputerowym i nabijaja sie z ludzi, dla ktorych
      komputer jest pieprzonym narzedziem pracy, jak mlotek, czy samochod
      i ma po prostu DZIALAC. Oni nie wiedza co to jest “.jpg”, “.exe” i
      jak dzialaja filtry antyspamowe. Chca po prostu wyslac/odebrac
      maila i miec swiety spokoj. I, prosze, nie uzywajcie porownan w
      stylu “kazdego narzedzia trzeba umiec uzywac”, bo (niestety)
      umiejetnosci konieczne do obslugi samochodu, czy wiertarki sa
      nieporownywalnie mniejsze do tych, ktorymi trzeba sie wykazac, zeby
      korzystac z komputera i omijac setki pulapek, zastawionychw necie
      na casualowych userow. Pamietajcie tez, ze wiekszosc ludzi jest do
      uzywania komputerow w dzisiejszych czasach po prostu zmuszona i
      czesto chca miec z nimi jak najmniej wspolnego, bo maja inne
      zainteresowania. I ja nie mam zamiaru ich z tego powodu
      wysmiewac.

  6. A wystarczy w panelu sterowania wyczyścić checkbox ” ukryj rozszerzenia znanych typów plików”. Myślenie bardzo dobrze uzupełnia działanie każdego antywirusa :-)

    • Pewnie i wystarczy, ale każdy średnio obyty z komputerem,
      chcąc zmienić nazwę np pliku w wordzie wpadnie w panikę, że ten
      plik przestał się otwierać. Jest duże prawdopodobieństwo, że
      użytkownik, który “dał się nabrać” na sztuczkę z takim mailem nie
      ma pojęcia co to są rozszerzenia plików

    • Odpowiednie (bezpieczne) ustawienia domyślne oprogramowania
      są w stanie uzupełnić procesy myślowe. Naprawdę w Win7 jest to
      domyślnie wyłączone (nie jestem w stanie sprawdzić)?

    • *włączone

  7. ciekaw jestem analizy tego malware, tj. co zbiera, ile mają C%C i takie tam:P

    • Jest dobrze. Kasa na jacht z lachonowa wkladka plynie strumieniami.

    • Jak bedzie on działał na większą skale może doczekamy się analizy od polskiego CERTu.

  8. @Andrzej:
    Moim zdaniem niewiedza odnośnie rozszerzeń wynika właśnie z ich ukrywania. Mogę się mylić, w każdym razie masz rację, że ludzie często nie mają o nich pojęcia. Zauważ jednak, co się stanie gdy zechcesz zmienić nazwę jakiegoś pliku: do zmiany zaznacza się tylko nazwa, rozszerzenie pozostaje poza zaznaczeniem, więc nie powinien to być problem nawet dla zwykłego klikacza.

    • Słusznie, trochę na wyrost napisałem – poza zaznaczeniem samej nazwy jest przecież jeszcze ostrzeżenie o zmianie rozszerzenia pliku.
      Swoją drogą, że u zwykłych klikaczy wyrobił się dziwny nawyk zamykania wszystkich “niespodziewanych” okienek bez przeczytania treści.

    • Zamykanie okienek iksem jak najbardziej można zrozumieć i jest to normalny nawyk.
      Dziwnym nawykiem byłoby zatwierdzanie bez czytania.

  9. Czemu w t-mobile nie ma żadnego sprytnego postmastera,
    który ustawiłby w SPF ~all na -all, co by z automatu wycięło i
    praktycznie wyeliminowało problem. Ile można testować SPF? Dzień,
    dwa ale nie w nieskonczoność. Choć ja na swoim serwerze i tak
    wycinam wszystkie maile wysłane poza tymi zdefiniowanymi w SPF
    nawet w trybie test. Zero tolerancji :).

    • Wydaje mi się, że SPF chroni tylko adres kopertowy, a nie
      nagłówek From: do którego można wpisać cokolwiek, a który jest
      najczęściej pokazywany przez programy pocztowe jako nadawca
      wiadomości. Nie znam żadnej prostej i wygodnej metody, żeby się
      zabezpieczyć przed spoofowaniem nagłówka From:.

  10. jezu otwieram a tu reklama prawie na strone i ledwie 5 linijek tekstu (nexus 7). moze by jakos zrezygnowac z reklam co panowie? ile w koncu kosztuje hosting…zrobimy ew sciepe. sorry za offtopic…

    • tu jest jakas reklama? lol

    • Khy khy, no script.

  11. Nie tylko pod T-Mobile się podszywają. Na adres na gmx.com
    dostałem takie coś niby od vodafone’a

  12. ja dostałem już kilka takich e-maili między innymi niby od
    t-mobile i vodafone

  13. jpg.exe Uśmiałam się.

    • Nie masz się z czego śmiać. Były wirusy w plikach *.jpg, *.ani, *.swf, *.pdf i javie. Obecnie wyświetlasz sobie stronę i dostajesz wirusa w gratisie bez żadnej dodatkowej interakcji. Nawet antywirusy nie pomagają, bo nie mają nowości w swoich bazach.

  14. Wiem, że wirus może być w pliku o “niewinnie” wyglądającym formacie, ale “zdjęcie” jako .exe to jednak grubymi nićmi szyte.

  15. Mejle przychodzą nie tylko z T-Mobile,ale również z
    Vodafone.de. Wczoraj usunąłem dwa takie mejle z
    załącznikami.

  16. msi nie lepsze? albo bat chociaż?

Odpowiadasz na komentarz m_

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: