hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.

„Żądanie zaprzestania naruszenia praw autorskich” – taki zwrot brzmi bardzo poważnie. Gdy znajdzie w się w zaadresowanym do nas mailu, można się przestraszyć. A w efekcie zareagować emocjonalnie i dać się oszukać. Uważajcie na kampanię phishingową, podszywającą się pod Agencję Artystyczną MTJ.

Do CERT Orange Polska trafił napisany prawniczym językiem e-mail, grożący konsekwencjami prawnymi w przypadku „nie usunięcia naruszonej treści”. Forma i brak błędów mogą sugerować, iż atakując wszedł w posiadanie podobnego pisma i użył go w kampanii phishingowej, zmieniając jedynie dane adresata.

Żądanie zaprzestania naruszenia praw autorskich - e-mail podszywający się pod agencję artystyczną MTJ.

W treści maila nie ma informacji o treściach naruszających prawo. Będąc odbiorcą takiej wiadomości zakładamy więc, że znajdują się załączonym pliku pdf. Który – jak się za chwilę okaże – ani nie jest załączony, ani też nie jest plikiem pdf.

Co się dzieje po kliknięciu? Najpierw mamy przekierowanie przez skracacz. To socjotechniczna sztuczka – zwykły internauta nie musi wiedzieć, że to skracacz, a dalsza część adresu uwiarygadnia scenariusz ataku…

…do tego stopnia, że w kolejnym kroku ofiara może się skupić na treści strony, a nie tym, iż dokument umieszczony jest w ogólnodostępnym serwisie wymiany plików i okazuje się plikiem ZIP.

Żądanie zaprzestania naruszenia praw autorskich - plik ZIP zawierający Remcos RAT w publicznej chmurze.

Żądanie zaprzestania naruszenia praw autorskich – co jest w środku?

Po ściągnięciu i otwarciu ZIPa okazuje się, że znajdują się w nim trzy pliki.

Najdłuższy, 1 to tylko „zaślepka”, powiększająca plik do takiej wielkości, by nie skanował go mechanizm antywirusowy publicznej chmury. Kolejne to rzekomy pdf, który okazuje się być plikiem wykonywalnym i niezbędna mu biblioteka (ab9d06b65ce017bdfd220df2d7034ce51f808124561f1c04953ef8267fab1613).

Pozostał już tylko ostatni krok – sprawdzenie z jakim szkodnikiem mamy do czynienia.

Wiele wskazuje na to, że mamy do czynienia z naszym starym znajomym, Remcos RAT, regularnie opisywanym na tych łamach. Oszuści poświęcili trochę czasu na skompilowanie nowej wersji tak, by znacząco utrudnić jej wykrycie.


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także