12:39
10/10/2018

Ktoś podszywa się pod ZUS i wysyła do Polaków następującą wiadomość:

[1] Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Tue, 9 Oct 2018 23:59:11 -0700
[2] Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Wed, 10 Oct 2018 02:13:26 -0700

Od: Zaklad Ubezpieczen Spolecznych ZUS@gov.pl
Odpowiedź do: tomasz.lukowaski@interia.pl
Data: środa, 10 października 2018 10:10
[1] Temat: Zalegle skladki
[2] Temat: Składki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKŁADKI NA DZIEŃ 2018.10.10

https://www.swiecie.eu/sites/default/files/field/image/logo-zus.jpg
[Szamocka 3/5 · +48 22 560 16 00]
e-mail: [zus@gov.pl]
www: [zus.pl]

Napis “Składki na dzień 2018.10.10” jest podlinkowany pod:

hxxp://s000.tinyupload.com/download.php?file_id=02050147363398326419
&t=0205014736339832641975716

i choć obecnie jest już niedostępny:

to jeszcze kilkadziesiąt minut temu dało się z niego pobrać następujący plik:

Składki na dzien 2018.10.10.doc

Który obecnie 12 antywirusów wykrywa jako złośliwy:

Co ciekawe, próba detonacji pliku nie wykazała, aby robił on cokolwiek “złośliwego” (Windows 7 i Office 2010). Być może dlatego plik tak szybko zniknął z hostingu — przestępca zorientował się, że gdzieś popełnił błąd.

Przy okazji — GMail też już ostrzega przed tym atakiem (dlatego własnie warto korzystać z GMaila):

IOC kampanii

Plik
Nazwa: Składki na dzien 2018.10.10
MD5 baf2ff03ad5449405dec334bb4255dfd
SHA-1 6ee77195b963c398d7ec1b938ca63a86e4a17371

Występują też inne warianty tytułów e-maila i jego treści:


Aktualizacja 10.10.2018, 12:45
Ruszyła druga fala kampanii, tym razem z linkiem:

hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Składki na dzien 2018.10.10.zip

MD5 973e4aefe22fff4c4058a155676e5c93
SHA-1 05af1d39b32f4a6553a696e6aa88ccf4b03fb263


Aktualizacja 11.10.2018, 13:21
Trzecie tchnienie kampanii to:

From: “Weronika Mazur Ksiegowosc” Weronikamazur@luxury.pl
Subject: Skan

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzi=
s oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierd=
zic otrzymanie srodkow.
Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Z linkiem prowadzącym do:

hxxps://fs03n1.sendspace[.]com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN 2018.10.10.doc

oraz drugi wariant:

Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Fri, 12 Oct 2018 07:34:26 -0700

From: “Skan.PDF”
Subject: Skan
Return-Path: Mariola@ksiegowosc.pl
Message-ID:

Witam
Przesylam skan potwierdzenie wyslania srodkow na Panstwa konto w kwocie 299=
zl
Pozdrawiam Mariola Kowalska
www.biuro-profits.pl

W wiadomości znajduje się link do:

https://fs07n5.sendspace.com/dl/7306fa119638db755e0c295bcf1d582b/5bc0a0861df3a240/zu4r4m/Skan.PDF.zip


Aktualizacja 11.10.2018, 21:11
I mamy kolejny wariant, tym razem z wykorzystaniem firmy Kruk:

[1]Received: from WIN-OQJUIMC71B6 ([23.83.133.194]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
Thu, 11 Oct 2018 05:14:31 -0700
[2]Received: from WIN-OQJUIMC71B6 ([157.52.132.132]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0);
[1] From: “Ewelina Zuber” windykacj@kruk.pl
[2] From: Kruk S.A. windykacja@kruk.pl

Temat: Zadluzenie

Witam
Przesylam wezwanie przed sadowe do spaty wiezytelnosci jesli nie rozpoczna Panstwo splaty sprawa zajmie sie komornik sadowy.
Z powazaniem Grupa Kruk S.A.
[Kruk S.A. ]
tel.: [+ 48 660987754]
Zadluzenie na dzień 2018.10.11
G+

[Adres Kruk S.A. ul. Powstancow 182 60-166 Poznan NIP: 779-23-08-495 https://www.Kruk.pl/]
kom [48 660987754] e-mail: [kruk@biuro.pl] www: [www.kruk-biuro.pl]

Link prowadzi do:

hxxps://fs05n1.sendspace.com/dl/4a436f9491ddeed7f4012d549ba53ba3/5bbf3d545b784193/1yhb2a/Skan.pdf.rar

PS. Jak zawsze w takich przypadkach, prosimy Was o przesyłanie do nas nie tylko screena e-maila, ale przede wszystkim pełnych nagłówków (najlepiej jako eksport e-maila do .msg) i w miarę możliwości także załącznika (najlepiej spakowanego na hasło “virus”, aby Wasze i nasze serwery pocztowe nie wycięły tego e-maila po drodze). Dzięki!

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Po co ktoś rozsyła w poczcie złośliwe pliki ? Jaka jest logika takich działań ?

    • W poczcie nie ma żadnych złośliwych plików – są tylko odnośniki.

    • Moze zeby poczytac niebezpiecznika z twojego komputera? :)

    • @jogi023

      Żeby wyłudzić od ofiary pieniądze.

      Słowo “złośliwy” należy traktować jako przenośnię. Rzeczywistym motywem jest chęć zysku.

  2. UM w Świeciu pomógłby podmieniając linkowany statycznie obrazek, na ostrzeżenie o próbie oszustwa :D

    • Napisz do admina i podaj mu link do tego artykułu.:)

    • Już napisałem za Ciebie.;)

    • Nie pomogło.

    • @aqz podaj szczegóły to skontaktuję się z kim trzeba.

  3. Ktoś w to uwierzy? Przecież w zusie e-maile odkryją za jakieś 10 lat, jak już nie będzie można nigdzie dyskietek kupić :D

    • Dementuję :) Dyskietek dawno nie ma, nasz “partner biznesowy” już ich nie potrzebuje, jak kiedyś… A z mejlami radzimy sobie nieźle, tyle że bezpieczniej jest kontaktować się w sprawach finansowych przez PUE. Pozdrawiam :)

    • PUE ,VPN ,przenośne drukarki ,blokady portów usb … to jest teraz rzeczywistość w Zusie.
      Zatrzymałeś się kolego na etapie “ataków Janosika” ,a czas płynie.
      Dla Ciebie – nieubłaganie.

    • Bartek masz jakieś archaiczne wiadomości. ZUS jest chyba najlepiej ogarniętym urzędem pod tym względem.

    • Nie zjedzcie mnie ludzie. Nie widać, że postawiłem roześmianą emotikonę na końcu? Dla osób, które dalej nie rozumieją: to był żart.

  4. Z ZUSu nic nie przyszło :(
    Ale za to coś wygrałem w MEDIA*MARKT, bo im się “system zawiesił” i w ramach przeprosin rozdajo :D
    Tylko muszę potwierdzić na topreastol.com/plmed7.php

  5. Czy plik jest w stanie zawirusować lub zaszkodzić androidowi? Lub danym?

  6. ciekawe czy tomasz ł. się cieszy z ujawnienia publicznie jego emaila :)

  7. A ja dostałem :-)

    Oct 10 12:08:36 spam postgrey[743]: action=greylist, reason=early-retry (685s missing), client_name=unknown, client_address=23.83.133.126, sender=ZUS@gov.pl, recipient=spam@spam.pl

    Kaspersky od razu krzyczał, aby nie otwierać linka :-)

  8. Jak to tak możecie jeszcze zachęcać ludzi do korzystania z usług Googla w tym Gmail-a.
    Dajmy wykazać się Polskim firmom – no nie pchajmy ludzi do Googla i tak już są totalnym monopolistą.

    • Wskaz firmę która robi to lepiej niż Gmail to będziemy taka polecać.

    • Co z wp mamy korzystać xD
      Gmail robi to najlepiej kosztem prywatności, dlatego protonami to dobry pomysł

    • Przy takim podejściu zawsze lepszy będzie gmail.
      Ja wolę coś zrobionego samemu.

    • Najlepiej jak by każda osoba, kupiła sobie komputer-serwer i założyła sobie serwer pocztowy…(wtf) Gmail, Exchange czesze system – jeżeli chodzi o pocztę. W czym jakaś Polska firma ma się wykazać?

  9. a ZUS dziś dał jeszcze czadu z certyfikatem PE-2-ZUS-EWD…

    • o, a tu już nie ma komentarzy pracowników zusu? taaa, chyba poszli po dyskietki z certyfikatami… ;)

  10. btw: i mx’y tylko na gmail/gsuite !

  11. Co jeśli kliknąłem na załącznik. Pojawiła się informacja,że nie można otworzyć pliku.

  12. Dostałem dziś wiad. Od MonikaMazur@luxury z załącznikiem z rar

  13. Niestety, domena gov.pl nie posiada rekordu Sender Policy Framework, co ułatwiło ten phishing. Napisałem przed chwilą maila do NASK-u, żeby rozważyli dodanie rekordu SPF na domenie gov.pl.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.