[Aktualizacja] Spam od "Agencja Celna DHL". Ostrzeżcie znajomych!

[Aktualizacja] Spam od "Agencja Celna DHL". Ostrzeżcie znajomych!

Aktualizacja 17.01.2018

Cyberprzestępcy w dalszym ciągu rozsyłają spam do naszych skrzynek mailowych, podszywając się pod firmę DHL. Schamet wysyłanych wiadomości jest niemal identyczny jak w poprzednich kampaniach. Przestępcy informują w nich o przesyłce, której rzekomo nie udało się dostarczyć. W celu uwiarygodnienia wiadomości, podają m.in. dokładną godzinę rzekomej wizyty kuriera, konto/numer kwitu, czy kwotę do zapłaty. Do wiadomości załączają rzekomą fakturę za niedostarczony przedmiot. W tym przypadku jest to link przekierowujący do serwisu Dropbox, gdzie znajduje się plik do pobrania. Po pobraniu i uruchomieniu go na Twoim komputerze pobierane jest docelowe złośliwe oprogramowanie. Tak jak w poprzednich atakach jest to malware Vawtrak, który atakuje strony bankowości online i wykrada dane logowania do konta bankowego oraz inne poufne dane. Złośliwe oprogramowanie pobierane jest z użyciem domeny, która już wcześniej była wykorzystywana przez przestępców w podobnych atakach.

Uwaga! Na celowniku przestępców są wszystkie platformy bankowości elektronicznej w Polsce.

Cyberprzestępcy muszą mieć wysoką skuteczność działania, bo wciąż wracają do rozsyłania niemal identycznych wiadomości. Schemat pozostaje taki sam, zmieniają jedynie niektóre dane, takie jak numer przesyłki, data, godzina. Poinformuj o tym zagrożeniu swoich znajomych, a być może uchronisz ich przed utratą poufnych danych.

Kampanie malware z poprzednich miesięcy

Cyberprzestępcy coraz częściej wykorzystują motyw znanych firm kurierskich przy wysyłaniu spamu. Cyberprzestępcy masowo wysyłają specjalnie spreparowane wiadomości email podszywające się pod Agencję Celną DHL. Dystrybucja spamu trwa od czerwca, a przestępcy wysyłając kolejne wiadomości zmieniają jedynie niektóre dane. Do wiadomości zawsze dołączony jest plik z rzekomą fakturą do pobrania. Zachowaj szczególną ostrożność, ponieważ większość programów antywirusowych nie wykrywa zagrożenia. Cyberprzestępcy na początku załączali do wiadomości dokumenty w formacie PDF. Obecnie są to niebezpieczne pliki (.js) JavaScript, które po kliknięciu pobierają złośliwe oprogramowanie Vawtrak. Przestępcy mogą wykorzystać ten rodzaj złośliwego oprogramowania po to, aby pozyskać Twoje poufne dane i wykraść Ci pieniądze.

Tak może wyglądać wiadomość, jaką wyślą do Ciebie przestępcy
screen_pl

Jeśli otrzymałeś podobne wiadomości, załączniki lub pliki możesz przesłać je za pośrednictwem strony zglosincydent.pl. Eksperci z PREBYTES przeanalizują Twoje zgłoszenie i poinformują Cię o wynikach.

Masowo rozsyłane przez cyberprzestępców wiadomości spam zawierają załączniki o nazwie fakt_nr_24183730608.pdf oraz Faktura VAT 63847362512.js. Otworzenie i uruchomienie ich spowoduje pobranie złośliwego oprogramowania. W tym przypadku jest to malware Vawtrak, który stanowi bezpośrednie zagrożenie dla Twojego dostępu do wszystkich stron online. Dodatkowo, przestępcy na serwerze umieszczają złośliwy skrypt, który losuje plik binarny do pobrania. Sumy kontrolne złośliwych plików mogą być różne. Średnio na serwerze znajduje się ponad 20 plików wykonywalnych.

Malware Vawtrak posiada funkcjonalność modyfikowania zawartości wyświetlanych stron. Oznacza to, że podczas logowania do bankowości, strona Twojego banku zostanie zmodyfikowana i będzie mogła żądać od Ciebie podania dodatkowych informacji, takich jak kody autoryzacyjne, dane karty płatniczej, numer PESEL oraz inne. Celem przestępców są wszystkie platformy bankowości elektronicznej w Polsce.

Pamiętaj! Złośliwe oprogramowanie kradnie każde dane. Kradzież Twojej tożsamości może wiązać się z poważnymi konsekwencjami. Przestępcy mogą zrobić z Ciebie pośrednika do nieautoryzowanych transakcji lub dystrybucji wiadomości spam. Jeśli chcesz zobaczyć jak wyglądają podejrzane komunikaty, które są spowodowane infekcją komputera czytaj na bieżąco PREBYTES SIRT Security Tips.

E-mail, który otrzymasz może mieć temat
Agencja Celna DHL - przesylka numer:(losowy nr przesyki)

Załączony do wiadomości plik może mieć nazwę
Faktura VAT (losowy nr faktury).js
fakt_nr_(losowy nr faktury).pdf

Tak może wyglądać plik po zapisaniu go na dysk
podglad_plikow-2

Tak może wyglądać dokument PDF z hiperłączem do pobrania rzekomej faktury
1extra_screen-1

Jeśli zobaczysz na końcu nazwy pliku rozszerzenie rar, arj, 7z, ace, r00, jar,xls, tar, doc, zip, gz, js, xz, r03, REV, r11, pdf, lzh, vbs, scr, exe, JPEG, docx, wsf, docm lub inne, które może wydać Ci się podejrzane - nie klikaj. Rozpakowanie i uruchomienie pliku może spowodować infekcję systemu. Jeśli na swoim komputerze nie widzisz rozszerzenia pliku, zobacz jak to odkryć w PREBYTES SIRT Security Tips.

Malware pobierane z serwera
hxxp://83.220.171.234/DHL/29603527860
hxxp://91.240.85.68/dhl/00012160182
hxxp://80.87.196.250/dhl/78812598195

SHA1
73A92F7A41EE73565B528ED9976E68C90636A705
7CEB281292C3280E3BC8205288EC9EF79E118623
494AD7CE1FD6BC604E5ECA6A5C9C4C31FDF184FC
3AD0A4708EE321C0558FABB78FA94B835EE4F7B8
E9E6504C3CD9A0FF1CCA4D9284EB21074778F5F1

Wiadomości archiwalne z poprzednich kampanii
screen_pl-1
3screen_pl
2screen_pl
1screen_pl

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Bądź z nami na bieżąco