.
Witamy, Gość. Zaloguj się lub zarejestruj.
Welcome, Guest. Please login or register.

Autor Wątek: Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”  (Przeczytany 115 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

Offline F0RZ4

  • Zaawansowany użytkownik
  • ****
  • Wiadomości: 70
  • Thanked: 44 times
  • Ilość Plusów: 36
  • Na forum od: 02.10.2016r.
  • System:
  • Windows 7/Server 2008 R2 Windows 7/Server 2008 R2
  • Przeglądarka:
  • Opera 49.0.2725.47 Opera 49.0.2725.47
Cytuj



Otrzymujemy zgłoszenia o nowym ataku na polskich internautów, lecz tym razem prawdopodobnie nie stoi za nim ten sam sprawca co zawsze – chociaż początkowa wiadomość jest zaskakująco dobrze przygotowana.

Trafiła w nasze ręce wiadomość ze złośliwym załącznikiem, która na pierwszy rzut oka wyglądała jak pozdrowienia od często opisywanego w naszym serwisie Thomasa, jednak przy bliższej analizie okazała się być zupełnie jak na niego nietypowa. Bardzo rzadko trafiają się tak ładnie przygotowane emaile które wysyłałby inny przestępca. Ale po kolei.

Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia

Wiadomość przychodzi pod tytułem „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia” a jej nadawcą jest adres You are not allowed to view links. Register or Login. Wygląda zupełnie jak jeden z emaili Thomasa, jednak wysyłana jest z innego serwera

Kod:
Only registered users can see contents. Please click here to Register or Login.
Wygląda następująco:



Cytuj
Szanowni Panstwo,

Dziekujemy za skorzystanie z uslug ZOZ ADAMED Sp. z o.o..
Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4463 na kwote 9536.18 zl, ktory przesylamy w zaalaczeniu.

Pobierz fakture w pliku Faktura nr 4463/11/20.pdf

Haslo do otworzenia faktury brzmi: 29062016

Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

Z powazaniem,
Kowalska Roksana
Dyrektor generalny

ZOZ ADAMED Sp. z o.o.
ul. Wagonowa 32 Bydgoszcz PL
NIP: PL4150356292

Link ukryty pod „Pobierz fakturę” prowadzi do adresu

Kod:
Only registered users can see contents. Please click here to Register or Login.
Tam czeka zabezpieczone hasłem archiwum ZIP, a w nim plik

Kod:
Only registered users can see contents. Please click here to Register or Login.
Plik wykonywalny jest samorozpakowującym się archiwum RAR, zawierającym kilka plików:

Kod:
Only registered users can see contents. Please click here to Register or Login.
Nazwami plików – oprócz Fhrdbi.exe – nie ma się co przejmować, ponieważ nie zawierają tego, na co ich nazwy potencjalnie wskazują. Sam plik Fhrdbi.exe to narzędzie do maskowania prawdziwego kodu (tzw. injector / packer), zapisanego w zaszyfrowanej formie w pliku „XML”. Po drodze plik EXE wyświetla jeszcze pusty plik PDF, a docelowy wykonywany EXE to You are not allowed to view links. Register or Login, napisane w assemblerze popularne narzędzie przestępców służące do kradzieży wszelkich możliwych danych uwierzytelniających. Ten egzemplarz łączy się z serwerem pod adresem

Kod:
Only registered users can see contents. Please click here to Register or Login.
na który przesyła wykradzione dane.

Cytuj
Uczymy tego na wykładach

Na szkoleniach dla pracowników uczymy rozpoznawać właśnie takie ataki – ten nasi słuchacze zidentyfikują bez problemu (brak polskich liter w temacie oraz archiwum z hasłem to silne przesłanki by nie klikać w załącznik). Możesz You are not allowed to view links. Register or Login, a gwarantujemy, że Twoi pracownicy będą chcieli więcej (są firmy, które odwiedzaliśmy już kilka razy, bo inne działy zazdrościły tym już przeszkolonym).

Przy okazji analizy tego zagrożenia udało się nam zidentyfikować inne ezgemplarze, które mogą być rozsyłane także w innych, analogicznych kampaniach. Skróty SHA256 plików używanych przez przestępcę:

Kod:
Only registered users can see contents. Please click here to Register or Login.
Adresy serwerów C&C używanych przez przestępcę:

Kod:
Only registered users can see contents. Please click here to Register or Login.
Dziękujemy Czytelnikom podsyłającym próbki i Anonimowym Analitykom, analizującym je w pocie czoła.

Źródło: Zaufana Trzecia Strona
 
The following users thanked this post: fiodor99

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24