Tak dużej kampanii spam nie było od dawna. Zobacz, co mogło trafić do Twojej skrzynki!

Tak dużej kampanii spam nie było od dawna. Zobacz, co mogło trafić do Twojej skrzynki!

Od rana na polskie skrzynki email trafiają wiadomości spam z niebezpiecznymi załącznikami. Cyberprzestępcy, stosując ten sam schemat, przygotowali kilkadziesiąt szablonów wiadomości. Ich celem jest jak największa dystrybucja spamu, zawierającego złośliwe oprogramowanie. Wówczas bowiem szansa na zainfekowanie kolejnych komputerów rośnie.

Treść wszystkich wiadomości jest bardzo krótka. Być może jest to zaplanowana manipulacja. Po przeczytaniu jednego zdania, które informuje o terminowych płatnościach, zapala się czerwona lampka. Ale jakich płatnościach, za co? Pewnie bez zastanowienia będziesz chciał kliknąć w załącznik i dowiedzieć się o jaką płatność dokładnie chodzi.

Zobacz jak wygląda wiadomość, którą mogłeś otrzymać.

spam4

Twoją czujność może uśpić format załącznika. Najczęściej złośliwe oprogramowanie jest ukrywane w spakowanych archiwach lub plikach wykonywalnych. A tu mamy do czynienia z załącznikiem w formacie .xls, czyli arkuszu kalkulacyjnym programu Excel. Po uruchomieniu dokumentu użytkownik proszony jest o uruchomienie niebezpiecznych makr. To popularne rozwiązanie stosowane przez cyberprzestępców do rozpowszechniania złośliwego oprogramowania.

Przeczytaj więcej o niebezpiecznych makrach w PREBYTES SIRT Security Tips.

Pomimo, iż treść wszystkich wiadomości spam jest identyczna, to mają one różne tematy i nazwy załączników. Schematy tworzenia wiadomości są bardzo podobne i z pewnością rozpoznasz taką wiadomość jeśli trafi na Twoją skrzynkę.

Zobacz przykładowe wiadomości spam. Zwróć uwagę na różne tematy wiadomości i nazwy załączników.

screen1

screen2

Załączniki o różnych nazwach dystrybuowane są z dwoma różnymi sumami kontrolnymi, jednak zawsze kryją to samo, a mianowicie złośliwe oprogramowanie Vawtrak.

Sumy kontrolne SHA1
24FC1F5A56FD9542EC8FB63C8C69C76F53B0ECEE
85C1052F392C6F39C368DCF5D5CC39890CBDABF2

Zainfekowanie komputera malware Vawtrak grozi utratą danych logowania do Twojej bankowości, kodów autoryzacyjnych, czy innych poufnych danych.
Niedawna kampania z malware Vawtrak pokazuje również, że jego celem mogą być nie tylko strony bankowości. Złośliwe oprogramowanie może również wykradać inne cenne dane, np. loginy i hasła do poczty elektronicznej, czy giełd kryptowalut.
Ponadto malware może wyszukiwać pliki na Twoim komputerze. W tym celu przeszukuje go pod kątem nazw plików, czy rozszerzeń spełniających określone kryteria ataku. Przeczytaj więcej na ten temat w naszym artykule.

Spływające od rana wiadomości pokazują skalę ataku. A jest ona bardzo duża. Nie trać czujności, bo detekcja tego zagrożenia przez programy antywirusowe jest bardzo niska!
Przygotowaliśmy dla Ciebie spis przykładowych tematów wiadomości, wraz z nazwami załączników.

Faktura 07/02/2018
FT-(jfalbadd).xls
FT-(beata.jakubowskad).xls
FT-(3dmariusz.gaweda).xls
FT-(ajfalba).xls
FT-(tbedkowska).xls
FT-(danuta.walkowskan).xls
FT-(lba).xls
FT-(tiwabco).xls
FT-(3datkaczyk).xls
FT-(graf).xls
FT-(magdalenamgontarekj).xls
FT-(siudek).xls
FT-(df).xls
F-RA lpfranchisingh.xls
F-RA leader-price.plafongang.xls
F-RA 46b580dd.xls
F-RA ka.xls
F-RA szarf.xls

rachunek
FT-(rkuchowiczdd).xls
FT-(lo3enata.grzesik).xls
FT-(reklamann).xls
FT-(info).xls
FT-(helplog3dd).xls
FT-(office66).xls
F-RA plog2nn.xls
F-RA lepye.xls
F-RA tbedkowskad.xls
F-RA vsbn.xls

faktura 07.02.2018
FT-(jfongang).xls
FT-(aitz).xls
FT-(ta.nobrdalik).xls
FT-(eemailinfo).xls
FT-(beata.kupracz).xls
FT-(elzbieta.jasiaknn).xls
FT-(joannapolaszekoffice).xls
FT-(shop310d).xls
FT-(piotrs).xls
FT-(ibednarz).xls
FT-(lwska).xls
F-RA 452d1996.6000508.xls
F-RA 11.xls

efaktury
FT-(agnieszka.lewicka).xls
FT-(uff.ricambi).xls
FT-(marek.bialek).xls
FT-(meknn).xls
FT-(dreligann).xls
FT-(dyr.pd).xls
FT-(dpdd).xls
FT-(piotr.grzybowski).xls
F-RA tmer.xls
F-RA jolad.xls
F-RA j.czyzp.xls
F-RA azurawskad.xls
F-RA lukasz.kopiczdd.xls
F-RA pgwardys.xls
F-RA shop501.xls
F-RA rudnikdanutar.xls
F-RA leader-price.plkkociszewska.xls

terminowe płatności
FT-(robert.drybala).xls
FT-(kociolekp).xls
FT-(kier.leg2).xls
FT-(cbrousse).xls
FT-(ionsklepyi).xls
FT-(poludniedyr.pdk).xls
FT-(wiwa).xls
FT-(tleszczynski).xls
FT-(3dabenegda).xls
FT-(biuro).xls
F-RA ockowskann.xls
F-RA shop520nn.xls
F-RA ania.xls
F-RA lpmagazynursynowk.xls

nowy rachunek
FT-(bgs).xls
FT-(rzyniec.talik).xls
FT-(mjaskolka).xls
F-RA cprouved.xls
F-RA meager7blaspheme.xls
F-RA arkadiusz.jankowski.xls
F-RA pochopien.xls
F-RA rwachowicznn.xls

Wiadomosc z TS sp z o.o. o wystawieniu efaktury
FT-(grazyna.szydlo).xls

Wiadomosc z UR sp z o.o. o wystawieniu efaktury
FT-(onika.kaczkowska).xls

Wiadomosc z ZD sp z o.o. o wystawieniu efaktury
FT-(bonk).xls

Wiadomosc z WP sp z o.o. o wystawieniu efaktury
FT-(supersla).xls

Wiadomosc z TC sp z o.o. o wystawieniu efaktury
F-RA rekrutacja.xls

Wiadomosc z MN sp z o.o. o wystawieniu efaktury
FT-(venn).xls

Wiadomosc z GK sp z o.o. o wystawieniu efaktury
FT-(ski).xls

Wiadomosc z DT sp z o.o. o wystawieniu efaktury
FT-(leader-price.plkkociszewska).xls

Wiadomosc z ZD sp z o.o. o wystawieniu efaktury
FT-(bonk).xls

Wiadomosc z RC sp z o.o. o wystawieniu efaktury
FT-(mgontarekd).xls

Wiadomosc z KM sp z o.o. o wystawieniu efaktury
FT-(helplog3).xls

Wiadomosc z SU sp z o.o. o wystawieniu efaktury
F-RA nati.xls

Wiadomosc z EL sp z o.o. o wystawieniu efaktury
F-RA rekrutacja5.xls

Wiadomosc z TC sp z o.o. o wystawieniu efaktury
F-RA rekrutacja.xls

Wiadomosc z MW sp z o.o. o wystawieniu efaktury
F-RA apisarskinn.xls

Wiadomosc z NK sp z o.o. o wystawieniu efaktury
F-RA shop315nn.xls

Wiadomosc z IB sp z o.o. o wystawieniu efaktury
F-RA jewskinn.xls

Aktualizacja 08.02.2018

Dzisiaj obserwujemy dalszy ciąg kampanii malware. Wszystkie wiadomości mają taką samą treść oraz temat RE: zamówienie. Zobacz, jak wygląda jedna z wiadomości, które przestępcy od samego rana, masowo rozsyłają.

2018_02_08_spam

I chociaż tematy wiadomości są takie same, to nazwy załączników mają już różne nazwy. Jednak tworzone są według tego samego schematu. Podobnie jak w kampanii z wczoraj, wszystkie załączniki są w formacie .xls i kryją malware Vawtrak. Wszystkie wiadomości dystrybuowane są z tą samą sumą kontrolną
SHA1 3935BA570FB257C255EFD433251B2234B0A3F771.

Skala ataku jest bardzo duża, dlatego przygotowaliśmy dla Ciebie przykładowe nazwy załączników. Pamiętaj, że wiadomość jaka może trafić do Twojej skrzynki może się nieco różnić, np. nazwą załącznika. Jeśli nie jesteś pewny, czy wiadomość jaką otrzymałeś jest niebezpieczna, prześlij ją do weryfikacji za pośrednictwem strony zglosincydent.pl.

W wiadomościach spam przestępcy umieścili odnośniki do złośliwych skryptów w usłudze Dropbox. Zadaniem złośliwego skryptu jest pobranie malware z serwera przestępców.

hxxps://www.dropbox.com/s/hmixw8y1cizkmou/Faktura_VAT_94939006818.js?dl=1
hxxps://www.dropbox.com/s/ihmosoh769h5643/Faktura_VAT_54610903750.js?dl=1
hxxps://www.dropbox.com/s/4qe41rve2djvitu/Faktura_VAT_00240044567.js?dl=1
hxxps://www.dropbox.com/s/l4vqjjoctlqdi98/Faktura_VAT_88461403495.js?dl=1

Przykładowe nazwy załączników w wiadomościach o temacie RE: zamówienie

zam 2214 proforma aemailinfo.xls
zam 5702 proforma pemailrm.xls
zam 7055 proforma n.krzyzanek.xls
zam 8434 proforma emailinfo.xls
zam 4657 proforma info.
zam 0121 proforma urszula.zalewska.xls
zam 8556 proforma isingdd.xls
zam 0804 proforma ziel.xls
zam 9718 proforma tleszczynski.xls
zam 0991 proforma i.bober.xls
zam 3514 proforma ieta.jasiak.xls
zam 2133 proforma dyr.gen.xls
zam 1306 proforma p208d.xls
zam 7396 proforma joee.xls
zam 5961 proforma emailoffice.xls
zam 6897 proforma kuba.xls
zam 7350 proforma mera.xls
zam 3223 proforma leader-price.plleaderprice.xls
zam 9783 proforma nowak.xls
zam 0198 proforma rec.leg.xls
zam 9059 proforma tran.xls
zam 9010 proforma odpn.xls
zam 8154 proforma kon.xls
zam 5749 proforma porskao.xls
zam 5455 proforma breton.xls
zam 2882 proforma gorzatamraczkowskad.xls
zam 3113 proforma agataazurawska.xls
zam 3850 proforma kgrabowskin.xls
zam 7636 proforma marcinmblazejewskio.xls
zam 0055 proforma jdias.xls
zam 5866 proforma kondd.xls
zam 5402 proforma 505d.xls
zam 3058 proforma talik.xls
zam 1809 proforma tomasz.machowicz.xls
zam 0672 proforma emailrobert plich.xls
zam 6193 proforma ini.xls
zam 7480 proforma o.pagana.xls
zam 7055 proforma ul.xls
zam 4729 proforma kuba.xls
zam 2821 proforma malgorzata.czerny.xls
zam 9476 proforma n.issan.xls
zam 9274 proforma a.pioch.xls
zam 6041 proforma issanserwis.xls
zam 1148 proforma piotr.xls
zam 3078 proforma emailgrazyna.xls
zam 4901 proforma zbigniew.mularski.xls
zam 8867 proforma canon.xls
zam 6865 proforma narcyz.bartkowiak.xls
zam 8270 proforma c8agana.xls
zam 0173 proforma wp.pllukasz.kopicz.xls
zam 0741 proforma 4zysztof.joskow.xls
zam 1254 proforma zaitzpiotr.zaitz.xls
zam 5905 proforma pro.onet.pl.pltor.xls
zam 8095 proforma szkolenia.xls
zam 1448 proforma blankan.xls
zam 1862 proforma lpwszyscy5.xls
zam 2997 proforma szka.ziolkowska.xls
zam 4428 proforma juliek.xls
zam 3303 proforma ud.xls
zam 5330 proforma og3d.xls
zam 8588 proforma sales.xls
zam 0247 proforma tomdd.xls
zam 3889 proforma 3datkaczyk.xls
zam 9045 proforma 3destaszkiewicz.xls
zam 1440 proforma plogd.xls
zam 9101 proforma egdan.xls
zam 5979 proforma jkopiecd.xls
zam 4927 proforma superfra.xls
zam 8653 proforma ewelinazawislak.xls
zam 2247 proforma patrycja.xls
zam 4072 proforma a.linkowski.xls
zam 5387 proforma z.olszewski.xls
zam 3552 proforma abriela.jonkisz.xls
zam 8455 proforma 3dsgnat.xls
zam 9320 proforma sportprofi.xls
zam 2657 proforma a.lewicka.xls
zam 2594 proforma helplog2n.xls
zam 6690 proforma elefranchising.xls
zam 4530 proforma satori.xls
zam 8212 proforma pnahoreckann.xls
zam 6586 proforma skashop506.xls
zam 3216 proforma webmasterdd.xls
zam 4225 proforma tomeks.xls
zam 3984 proforma dudzinski.xls
zam 1880 proforma asia.xls

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Bądź z nami na bieżąco