Faktury ukryte na Google Drive

(dla adminów – na dole tradycyjnie wrzucamy IoC)

Cyberprzestępcy wpadli na kolejny oryginalny pomysł. Tym razem, ukrywając link do rzekomej faktury na chmurowym dysku Google wydają się liczyć na trzy rzeczy: wzbudzenie zaufania u ofiar (w końcu link prowadzi do prawdziwej strony drive.google.com), oszukanie niektórych systemów bezpieczeństwa no i brak możliwości zablokowania takiej strony przez operatora (przecież prowadzi do prawdziwego serwisu Google).

Zaczyna się od takiego maila:

Oczywiście nadawca nic nie wie o mailu, którego miał wysłać, nazwisko i firma w podpisie są zupełnie inne, niż w adresie nadawcy, podobnie jak Firma/Organizacja. Zgadza się tylko potencjalna ofiara, która ma w emocjach – lub z ciekawości – zerknąć na to, cóż to za fakturę dostała. A gdy to zrobi, w pliku prezentacji Google Docs (???) zobaczy ekran z linkiem do pobrania faktury.

Plik pdf okazuje się być plikiem ZIP, który po otwarciu instaluje Brushloadera, a docelowo zaciąga na komputer ofiary bankera Ursnif.

O ile blokować drive.google.com nie możemy, to kolejny krok już tak, więc w sieci Orange Polska nawet gdy otworzycie nieszczęsnego pptx to „faktury” już nie ściągniecie. Próby połączenia z C&C trafiają oczywiście do sinkkole’a.

Pamiętajcie – zwykły internauta nie ma powodów, by robić z takim mailem cokolwiek poza usunięciem go, a ciekawość to pierwszy stopień do… utraty pieniędzy z Waszego bankowego konta. Jeśli natomiast jesteście przedsiębiorcami i nie macie pojęcia, kim może być nadawca maila – po prostu doń zadzwońcie, ale absolutnie nie próbujcie otwierać pliku.

Indicators of Compromise

Witryna z plikiem document5365.zip: hxxps://purchasedyouasa.co/pobieranie

Brushloader: hxxps://tuesyuioodpps.xyz

C&C Ursnifa: maiamirainy.at, drunt.at, news-deck.at