hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.

„Żądanie zaprzestania naruszenia praw autorskich” – taki zwrot brzmi bardzo poważnie. Gdy znajdzie w się w zaadresowanym do nas mailu, można się przestraszyć. A w efekcie zareagować emocjonalnie i dać się oszukać. Uważajcie na kampanię phishingową, podszywającą się pod Agencję Artystyczną MTJ.

Do CERT Orange Polska trafił napisany prawniczym językiem e-mail, grożący konsekwencjami prawnymi w przypadku „nie usunięcia naruszonej treści”. Forma i brak błędów mogą sugerować, iż atakując wszedł w posiadanie podobnego pisma i użył go w kampanii phishingowej, zmieniając jedynie dane adresata.

Żądanie zaprzestania naruszenia praw autorskich - e-mail podszywający się pod agencję artystyczną MTJ.

W treści maila nie ma informacji o treściach naruszających prawo. Będąc odbiorcą takiej wiadomości zakładamy więc, że znajdują się załączonym pliku pdf. Który – jak się za chwilę okaże – ani nie jest załączony, ani też nie jest plikiem pdf.

Co się dzieje po kliknięciu? Najpierw mamy przekierowanie przez skracacz. To socjotechniczna sztuczka – zwykły internauta nie musi wiedzieć, że to skracacz, a dalsza część adresu uwiarygadnia scenariusz ataku…

…do tego stopnia, że w kolejnym kroku ofiara może się skupić na treści strony, a nie tym, iż dokument umieszczony jest w ogólnodostępnym serwisie wymiany plików i okazuje się plikiem ZIP.

Żądanie zaprzestania naruszenia praw autorskich - plik ZIP zawierający Remcos RAT w publicznej chmurze.

Żądanie zaprzestania naruszenia praw autorskich – co jest w środku?

Po ściągnięciu i otwarciu ZIPa okazuje się, że znajdują się w nim trzy pliki.

Najdłuższy, 1 to tylko „zaślepka”, powiększająca plik do takiej wielkości, by nie skanował go mechanizm antywirusowy publicznej chmury. Kolejne to rzekomy pdf, który okazuje się być plikiem wykonywalnym i niezbędna mu biblioteka (ab9d06b65ce017bdfd220df2d7034ce51f808124561f1c04953ef8267fab1613).

Pozostał już tylko ostatni krok – sprawdzenie z jakim szkodnikiem mamy do czynienia.

[uaktualnienie] Choć początkowo wydawało się, że mamy do czynienia z naszym starym znajomym, Remcos RAT, regularnie opisywanym na tych łamach, dalsze analizy wykazały, że to Rhadamantys Stealer.

Interakcja z plikiem wykonywalnym wyzwalała łańcuch infekcji w wyniku którego niegroźny plik wykonywalny wczytuje załączoną bibliotekę DLL (technika DLL sideloading), zawierającą skompresowany ładunek stealera. Po uruchomieniu w pamięci systemu Rhadamanthys rozpoczyna kradzież danych: ciasteczek loginów, danych z portfeli kryptowalut, zapisanych haseł itp.  Dodatkowo, po skomunikowaniu z serwerem C2 (hxxps://104[.]37[.]172[.]175:1057/1367e1d853b0791e08/n6fg3ns2.ej82g), malware pobiera i uruchamia dodatkowe złośliwe oprogramowanie takie jak AsyncRAT. 


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.