Kolejna fala „faktur od Orange”

Dzisiejsza próbka phishingu, która trafiła do nas dzięki uprzejmości GSMOnline.pl, z pozoru przypomina mail, o którym pisaliśmy 6 dni temu.

Trzeba jednak zauważyć, że tym razem przestępcy postarali się nieco bardziej, spoofując adres nadawcy na:
Ornge PL <e-faktura.TP@orange.com>

Oczywiście gubi ich literówka w nazwie i adres, którego do wysyłki faktur nie używamy już od bardzo dawna (przypominamy do znudzenia – nasze faktury przychodzą z e-faktura@pl.orange.com, zabezpieczonego od strony serwera przed spoofingiem). No i oczywiście treść i wygląd maila, ale tu bylibyśmy dalecy od strojenia sobie żartów – przestępcy szybko się uczą i przy kolejnej kampanii wiadomość może być już znacznie bardziej podobna do prawdziwej faktury.

Kliknięcie w link prowadzi do – jak można było oczekiwać – pliku ZIP, zawierającego „fakturę”. Po jej otwarciu infekujemy komputer trojanem vjw0rm (szczegółowa analiza podobnego przypadku tutaj). Co ciekawe, malware usiłuje się komunikować z domeną o przewrotnym adresie hxxp://total-virus.myq-see.com (czyżby skojarzenie z serwisem Virus Total miało w odczuciu przestępców zmniejszyć podejrzliwość ofiar?), oczywiście transmisja jest blokowana przez CyberTarczę.

Na koniec wróćmy jeszcze do linku. Fakt, że w „fakturze od Orange” łącze prowadzi pod adres hxxps://www.lizen-pierre.be/t-mobilebankowe.pldla-mediow, poza tym, że przestępcy nie bardzo skupili się przy uruchamianiu kampanii może również sugerować, iż klienci naszych fioletowych kolegów również mogą niebawem otrzymać wiadomości przeznaczone dla siebie (o ile już ich nie dostali). Uważajcie.