hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
23 grudnia 2023

Czekasz na paczkę od kuriera DHL? Uważaj!

Na koniec okresu przedświątecznego szybkie ostrzeżenie. Uważajcie na maile, podszywające się pod kuriera DHL, z niechcianym prezentem pod linkiem.

Tym razem wektorem jest mail – a nie, jak ostatnio najczęściej – SMS. Choć treść w zasadzie jest podobna jak w wiadomościach tekstowych:

Z jednej strony – mamy adres nadawcy w prawdziwej domenie DHL (czyżby brak zabezpieczeń przed spoofingiem). Z drugiej jednak – link na dole prowadzi do witryny DHL w Grecji. Do tego jeszcze specyficzne personalia rzekomego nadawcy i sugestia by… naprawić nadzorcę wyjątków? Warto też zwrócić uwagę, że wiadomość wysłana jest nie do konkretnego nadawcy, lecz do listy osób, wpisanych w okienku „ukryte do wiadomości”. Wszystkim z nich usiłowano dostarczyć wiadomość 19 grudnia o godz. 13.10?

Na czym polega atak?

Skoro nie ma linku, wiadomość musi zawierać załącznik. Faktycznie jest, tradycyjnie podwójnie spakowany. Najpierw gz:

zaś w kolejnym kroku archiwum znajdziemy dwa pliki .exe:

W załączniku znajduje się znany, popularny (wśród przestępców) i (nie)lubiany Formbook. Potrafi przechwytywać loginy i hasła z przeglądarek, wykonywać zrzuty ekranu, rejestrować naciśnięcia przycisków oraz – jak większość sieciowego paskudztwa – pobierać i uruchamiać inne szkodliwe pliki.

vGyrcOYiDvBGHrx.exe
Rozmiar Pliku: 696KB
MD5: 4861b47980106197465f7c72c29f4e61
SHA1: 4431c8505e9f08b43042a3daa170ec32619a2a2a
C2: wne-coinbase[.]com
Decoys:

  • hanaleikeyword.top
  • fai.ovh
  • jan8.site
  • golcondatowing.top
  • clearchoiceafh.net
  • qinglvzhuang8.com
  • luxurywatches.cat
  • katoonishop.com
  • kw2jm9er.shop
  • prodctionlaser.com
  • teachertransitionjobboard.com
  • qzlr6.site
  • kabir.tech
  • hnxuefengyuan.com
  • abc386.site
  • ra-myportfolio.com
  • bowanghg.com
  • disoklahoma.com
  • jordenshoots.com
  • imobje.space
  • sousou1.com
  • kcople.xyz
  • qq63904.com
  • saucesfoodblog.com
  • pittsborokeyword.top
  • thebestowing.top
  • x3nz.site
  • cepxoo.com
  • fghvchfgh.work
  • berita138brand.xyz
  • kopyasetupcleaner.com
  • feministfantasypress.com
  • osagetowing.top
  • towersecurity.blue
  • mightyspirit.shop
  • noop.site
  • classclips.com
  • cloudcitytv.com
  • jx2dolong.net
  • zneckhp.site
  • duv2n.com
  • towing-pembroke.top
  • b4x7wsf.sbs
  • cs-share.com
  • kgh6h4qv.shop
  • sarah-banhamou.com
  • mbldgreen.com
  • 5e73f4s0.shop
  • washingtoncrossingtowing.top
  • hokeystar-ua.com
  • megq.store
  • todoaudiolibros.online
  • foxy-store.com
  • aukmaldives.com
  • runhbr.asia
  • dirsupsys.com
  • rvonadime.com
  • esmurz.top
  • dein-kleinunternehmen.store
  • bmw2039.com
  • coindigigroup.com
  • peenetic.com
  • upworkmedia.net
  • charityresourcellc.com

8cY81v7KTyZ7eBJ.exe
Rozmiar: 800KB
MD5: 09aea76a89c5c5bc4e20048ebc73300b
SHA1: bdc8fc1d96f9bb807d0ba637e89d4a05b52eadfe
Decoys:

  • www.tainews.online
  • www.blzzrd.store
  • www.fytz2.site
  • www.wizecove.plus
  • www.football-press.net
  • www.hudi.codes
  • www.naviscode.net
  • www.hamdan-enterprises.com
  • www.brightsync.top
25 lipca 2024
Fałszywe strony podszywające się pod doładowania Play!
Dowiedz się więcej
22 lipca 2024
Zaległa faktura? Nie w taki sposób!
Dowiedz się więcej
17 lipca 2024
Kolejne oszustwo, a w tle Profil Zaufany
Dowiedz się więcej