hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
12 lutego 2020

Niby plik, niby webmail

Wszystko, jak zazwyczaj, zaczęło się od e-maila. Nasze CERTowe adresy wrzucamy, gdzie się da, nie bez przyczyny. Tym razem od przestępców, bezpośrednio na abuse@tpnet.pl, dostaliśmy coś takiego (dziękujemy i prosimy o więcej):

Jak widać po najechaniu na link, wcale nie prowadzi on do serwisu, służącego wygodnemu przesyłaniu dużych plików:

Dzięki pomysłowi przestępców nie możemy zablokować powyższej domeny, jest to bowiem legalna usługa chmurowa Google. Adres w linku prowadzi do tzw. „bucketu”, konkretnego kontenera w chmurze, a dołączony w adresie „klucz” pozwala ofierze bez problemu się doń zalogować. Po kliknięciu w linku z maila zobaczymy fałszywy ekran… webmaila. Teoretycznie większość użytkowników powinna się zorientować, że mieli dostać plik na WeTransferze, a nie logować się do nieswojego webmaila. Jeśli jednak odruchowo wpiszą swój login i hasło, dostaną informację o „odzyskaniu” skrzynki pocztowej – a przestępcy ich login i hasło do wykorzystania.

Indicators of Compromise

O ile akurat ta kampania wyszła złym ludziom słabo, a na dodatek jej celem nie wydają się być Polacy, z punktu widzenia administratora warto przyjrzeć się powiązanym adresom.

hxxp://xcoidismrog.xyz – to główna domena naszej kampanii. Jeśli jednak spojrzymy na stojący za nią adres IP:

192.3.136.104

okazuje się, że znajdziemy pod nim sporo innych witryn, w zasadzie o tym samym „profilu biznesowym”:

https://securitytrails.com/list/ip/192.3.136.104 (każdy z Was najechał na link, żeby sprawdzić, czy na pewno wygląda tak, jak opis? 🙂 )

Przyjrzenie się domenom pod powyższym IP wykazuje, iż każda z nich posiada hosty ftp, webdisk, a także przechowuje pliki, jednak zasób jest współdzielony przez wszystkie domeny, bowiem każda z nich przy połączeniu FTP przekierowuje w jedno miejsce, z którego pobiera ten sam plik – 56ryuqy9.zip. O ile w ZIPie w momencie analizy znaleźliśmy pliki php i phishing na amerykańskiego ISP X-Finity, to tylko jeden z wektorów ataku. Pod poszczególnymi adresami znajdziemy fałszywe ekrany logowania pod wiele usług sieciowych, m.in. Office 365, Box, czy Onedrive.

Pamiętajcie – zawsze sprawdzajcie adres w pasku przeglądarki i zwracajcie uwagę, gdy link prowadzi Was na co zupełnie innego, niż zapowiadał mail.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
15 kwietnia 2025
PKO BP na celowniku przestępców – nowa kampania Remcos RAT
Dowiedz się więcej
2 kwietnia 2025
Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła?
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance