Zaloguj się do usług
bezpieczeństwa
4 grudnia 2019
"Faktury" ukryte na Google Drive

(dla adminów - na dole tradycyjnie wrzucamy IoC)

Cyberprzestępcy wpadli na kolejny oryginalny pomysł. Tym razem, ukrywając link do rzekomej faktury na chmurowym dysku Google wydają się liczyć na trzy rzeczy: wzbudzenie zaufania u ofiar (w końcu link prowadzi do prawdziwej strony drive.google.com), oszukanie niektórych systemów bezpieczeństwa no i brak możliwości zablokowania takiej strony przez operatora (przecież prowadzi do prawdziwego serwisu Google).

Zaczyna się od takiego maila:

Oczywiście nadawca nic nie wie o mailu, którego miał wysłać, nazwisko i firma w podpisie są zupełnie inne, niż w adresie nadawcy, podobnie jak Firma/Organizacja. Zgadza się tylko potencjalna ofiara, która ma w emocjach - lub z ciekawości - zerknąć na to, cóż to za fakturę dostała. A gdy to zrobi, w pliku prezentacji Google Docs (???) zobaczy ekran z linkiem do pobrania faktury.

Plik pdf okazuje się być plikiem ZIP, który po otwarciu instaluje Brushloadera, a docelowo zaciąga na komputer ofiary bankera Ursnif.

O ile blokować drive.google.com nie możemy, to kolejny krok już tak, więc w sieci Orange Polska nawet gdy otworzycie nieszczęsnego pptx to "faktury" już nie ściągniecie. Próby połączenia z C&C trafiają oczywiście do sinkkole'a.

Pamiętajcie - zwykły internauta nie ma powodów, by robić z takim mailem cokolwiek poza usunięciem go, a ciekawość to pierwszy stopień do... utraty pieniędzy z Waszego bankowego konta. Jeśli natomiast jesteście przedsiębiorcami i nie macie pojęcia, kim może być nadawca maila - po prostu doń zadzwońcie, ale absolutnie nie próbujcie otwierać pliku.

Indicators of Compromise

Witryna z plikiem document5365.zip: hxxps://purchasedyouasa.co/pobieranie

Brushloader: hxxps://tuesyuioodpps.xyz

C&C Ursnifa: maiamirainy.at, drunt.at, news-deck.at


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl