16:18
12/7/2017

Od rana informujecie nas, że ktoś podszywa się pod PKO Leasing i rozsyła na adresy e-mail przedsiębiorców fałszywe wezwania do uregulowania faktury.

Nowa faktura od PKO Leasing S.A.

Oto jak wygląda wiadomość:

fot. Cezar “ikari” Pokorski

Wiadomość jest oczywiście podrobiona i faktycznie została przesłana z serwerów nazwa.pl
X-Mail-from: pkoleasing@msikora1.nazwa.pl

Choć do kilku skrzynek i tak wpadnie, bo pkoleasing.pl nie ma restrykcyjnej ustawień SPF.

Wraz z wiadomością e-mail wysyłany jest załącznik:
PKO LEASING LM_11_07_061934 PDF.zip

Który tak naprawdę jest RAR-em:
$ file PKO\ LEASING\ LM_11_07_061934\ PDF.zip
PKO LEASING LM_11_07_061934 PDF.zip: RAR archive data, vbe,

i który po rozpakowaniu prezentuje plik:
PKO LEASING LM_11_07_061934 PDF.js

MD5 6f80a302db4d25108ed06988d4e39cc7
SHA1 ef61fd039107d2fba65f7ee413bda37b5273225a
SHA256 342a4dcf010d777d68290b1f302527ad97905a5e425771f1bcfd845ec16b4407

który jak się domyślacie, po otworzeniu próbuje pobrać i uruchomić złośliwe oprogramowanie.

Nasz czytelnik Cezary przyjrzał się zawartości tego pliku i jak pisze:

W środku tego JSa znajdziemy blok komentarza będący przypadkowym tekstem po włosku (?!), a po nim obfuscowany kod JS. Z użyciem narzedzi JSNice (żeby odczytać zapisane w ten sposób stringi), JS minifier (żeby z powrotem zaciemnić źle wykryte nazwy zmiennych) i JSBeautifier (żeby z powrotem to sformatować), otrzymujemy kod definitywnie dotykający rzeczy, których nie powinien:

Plik jako złośliwy wykrywa 9 na 57 antywirusów:

a analiza w sandboksie pokazuje, że malware próbuje kontaktować się z poniższą domeną, ustawiając ciekawe nagłówki:

hxxp://lipiec.ftpserver.biz:1742/Vre (178.32.201.212)

Szybka reakcja PKO Leasingu

PKO Leasing poinformowało już o ataku swoich klientów zarówno na stronie www, jak i SMS-em wysłanym do zapewne wszystkich, choć nie wszyscy tę fałszywą fakturę otrzymali.

Atak najbardziej uciążliwy będzie więc dla osób, które otrzymały “fakturę” a klientem PKO leasingu nie są i ostrzeżenia nie dostały. Ale z drugiej strony, takie osoby powinny być także bardziej podejrzliwe w stosunku do tego e-maila, bo …przecież nie są klientami PKO.

PS: Jak zwykle, dziękujemy wszystkim czytelnikom, którzy poinformowali nas o tej kampanii i przesłali próbki. To dzięki Wam możemy ostrzegać innych przed takimi atakami. Przy okazji, gdyby ktoś kiedyś chciał nam przeforwardować złośliwą wiadomość, mała wskazówka: aby e-mail na pewno do nas dotarł (a nie został odbity przez serwer pocztowy ze względu na złośliwe oprogramowanie), zapiszcie treść maila wraz z nagłówkami i spakujcie razem z załącznikiem darmowym programem 7zip na hasło “virus”. Dzięki!

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. Najgorsze jest to, że w załączniku były faktury z moimi danymi. Skąd atakujący je miał?

    • Wpisz swój e-mail w wyszukiwarkę Wujka Duże G i zobacz co pokazuje. Jeśli nic to zapytaj na haveibeenpwned.com.

    • Pewnie je gdzieś/komuś zostawiłeś.

    • sądzę, że z CEIDG – do mnie mail dotarł na adres mailowy, który tam jest podany…

    • Nie no, w załączniku był TYLKO ten plik JS (przynajmniej w moim przypadku pokazanym na screenie). Nie było danych. TO też zwróciło moją uwagę — niby ktoś wysyła mi fakturę, ale nie zwraca się nawet po imieniu w mailu ani nie adresuje go z nazwiska. To już świadczyło, że być może adres e-mail to jedyne, co mają.

  2. Jak można się dać nabrać na tak prostacką zagrywkę, faktura spakowana zip-em?!

    • PS. Jestem “zielony” w kodowaniu, programowaniu i innych zabezpieczeniach, ale taką oczywistość z oczywistości nie zauważyć to już jest Dramat :/.

  3. Ktos wie w jakim sandboxie warto/nalezy sprawdzac podejrzane pliki? Ktos moze cos polecic?

  4. Wow. prawie jak ‘albanski wirus’.
    Ciekawe ilu zlapia…

  5. prosze o rozwinięcie myśli ” bo pkoleasing.pl nie ma restrykcyjnej ustawień SPF”

  6. No ja niestety otrzymałem taką fałszywą fakturę, ale na szczęście w porę się zorientowałem, że adres e-mail się nie zgadza…

  7. -type=txt pkoleasing.pl

    “v=spf1 mx a ip4:77.79.234.16/28 -all”

    -type=soa pkoleasing.pl

    pkoleasing.pl
    serial = 2017071401
    default TTL = 60 (1 min)

    Zarzadzanie poprzez kryzys :D

  8. Panie Piotrze – po co w tym kodzie jest tyle pustosłowia?
    Np. tu:
    “(Function(\”return (function(){}.constructor(\\\”return this\\\”)());\”))();”
    Funkcja po wywołaniu zwraca po prostu obiekt Window.

    • Jedna z możliwości jest taka, że to dlatego, żeby uzyskać obiekt globalny (window) nawet jeśli został on przesłonięty w danym zasięgu. Na przykład ktoś chciał podstawić swój window doklejając go przed powyższym zlośliwym kodem, żeby zobaczyć, co się będzie z nim działo. Ten kod trochę by to obszedł:

      function f() {
      var window = 1;
      var e = Function(“return (function () {}.constructor(\”return this\”)());”);
      return e();
      }
      f(); // Window
      f.apply({}); // Window

      Teraz jeśli wyobrazimy sobie, że zamiast “var e” jest cały złośliwy plik, to widzimy, że nawet dodanie zmiennej “window” albo zmiana “this” nie sprawi, że podstawimy coś zamiast globala, którego używa kod.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.