Jak „ł” niedoszłym ofiarom pomogło

Czasami z rozrzewnieniem wspominamy czas początków phishingu. Socjotechnika nie była jeszcze tak rozpowszechniona, polskich internautów atakowali przestępcy nie znający naszego języka, w efekcie – usiłowano nas przekonać do kliknięcia zgodnie z wolą oszustów, używając bełkotu z trudem podobnego do języka polskiego z subtelnością dresiarza z tamtych czasów, z baseballem w ręku, sugerującego w ciemnym parku, że uprzejmie poprosi nas o nasz aparat telefoniczny.

Mamy jednak lata 20. XXI wieku, a phishingi tak dobre, że czasem łapią się na nie największe asy. Oszuści starają się przekonać nas do złapania się na ich lep tak bardzo, że zdarza im się… przeszkodzić samym sobie.

Trafił nam się bowiem taki przypadek:

Wygląda jak standardowy phishing i tym w istocie jest. Gdy klikniemy w obrazek, nie będzie pod nim PDFa (to tylko podpucha PNG), a link poprowadzi do złośliwego pliku, hostowanego w Microsoftowej chmurze OneDrive. Sprytne, bowiem systemy bezpieczeństwa nie zablokują popularnej publicznej chmury. Plik docelowy to „Kopia polecenia zapłaty.exe” (MD5 50d1a28fe28005b4908a346c0f977df7). Po uruchomieniu, jak na porządny malware przystało, uruchamia sam siebie nadpisując kod rozpakowaną dll i… proces się zatrzymuje, potocznie mówiąc: „wykrzacza”. Dlaczego? Jak można się domyśleć po tytule, przez polski znak diakrytyczny w nazwie!

Jeśli ofiara dojdzie do podobnego wniosku i chcą koniecznie zobaczyć „polecenie zapłaty w exeku zaklęte” zmieni „ł” na „l” – zainstaluje Agenta Tesla, który wykrada wszelkie znalezione loginy i hasła, wysyłając je do oszustów za pomocą serwera smtp.1and1.es. Swoją drogą ten ostatni adres to też sprytny pomysł. Używając do wysyłi serwera pocztowego znanej firmy o dobrej reputacji mogą być pewni, że ten element infrastruktury również nie zostanie zablokowany.