hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Dridex schowany na Discordzie

Wraca Dridex – dawno nie widziany w naszej sieci gość. Ten malware, wyspecjalizowany w kradzieży danych logowania do bankowości internetowej, rozprowadzany jest (przynajmniej w przypadku kampanii, z której próbka do nas trafiła) w ciekawy sposób.

Tradycyjnie parę informacji, na co warto zwrócić uwagę, a co oszustom całkiem nieźle wyszło, patrząc od góry:

  • Order Status, czyli status zamówienia. Warto się zastanowić, czy zamawialiśmy coś z Trend Micro.
  • W nazwie Order Status, a w nazwie domeny słowo „critical”? Jeśli coś jest krytyczne, to nie jest statusem zamówienia.
  • Domena critical.notifytrendmicro.com – chylę czoła, sprytne. Wielu może się dać oszukać.
  • Tytuł maila: „Security Bulletin”. Dla nas to już kompletny groch z kapustą. To w końcu zamówienie, ostrzeżenie krytyczne, czy biuletyn?
  • Wiceprezes Trend Micro pisze, do mnie? Po pierwsze jeśli już by pisała, to treść brzmiałaby dużo bardziej oficjalnie, po drugie zaś – Juana Morales nie pracuje w Trend Micro. Mogliby się bardziej postarać.
  • Ciąg maili, z poprzednim ostrzegającym o rzekomym zagrożeniu. To znany socjotechniczny chwyt, urealniający przekaz.
  • Ostatnia linijka rozbawiła nas wyjątkowo. Mail z Trend Micro przeskanowany przez Symanteca? To trochę tak jakby znany polski piłkarz reklamował jednego producenta telefonów, a posty na Instagrama wrzucał z inn… 😉

Jeśli zdecydujemy się zainstalować „update” zostaniemy przekierowani na… Discorda. Tak, to też coraz częstsza praktyka – hostowanie malware’u na stronach o dobrej reputacji. Przestępcy robią to z nadzieją oszukania automatycznych systemów bezpieczeństwa. Nasze dają sobie radę, blokując takie adresy selektywnie, a nie po domenie.

Docelowy zainfekowany plik to DetectionTool.exe (MD5 9a91ed554dbe92a42e0b05322a2b365c).

Klucz RC4 plain, w razie gdybyście chcieli pobawić się próbką: VZqtEP4YPfAiLYJ1kCj3TDVtMX14a7RZa3EwVjHVufJ0goonDYZEzRQKBoEv7tw4HRosysxEArAKM0se0bmZh2xHS2dSfFzhnxXyrl3IFq

Serwery Command&Control mieszczą się pod adresami:
191.252.184.113:443
107.170.64.97:9043
212.227.94.31:10172


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także