Czekasz na paczkę od kuriera DHL? Uważaj!
Na koniec okresu przedświątecznego szybkie ostrzeżenie. Uważajcie na maile, podszywające się pod kuriera DHL, z niechcianym prezentem pod linkiem.
Tym razem wektorem jest mail – a nie, jak ostatnio najczęściej – SMS. Choć treść w zasadzie jest podobna jak w wiadomościach tekstowych:
Z jednej strony – mamy adres nadawcy w prawdziwej domenie DHL (czyżby brak zabezpieczeń przed spoofingiem). Z drugiej jednak – link na dole prowadzi do witryny DHL w Grecji. Do tego jeszcze specyficzne personalia rzekomego nadawcy i sugestia by… naprawić nadzorcę wyjątków? Warto też zwrócić uwagę, że wiadomość wysłana jest nie do konkretnego nadawcy, lecz do listy osób, wpisanych w okienku „ukryte do wiadomości”. Wszystkim z nich usiłowano dostarczyć wiadomość 19 grudnia o godz. 13.10?
Na czym polega atak?
Skoro nie ma linku, wiadomość musi zawierać załącznik. Faktycznie jest, tradycyjnie podwójnie spakowany. Najpierw gz:
zaś w kolejnym kroku archiwum znajdziemy dwa pliki .exe:
W załączniku znajduje się znany, popularny (wśród przestępców) i (nie)lubiany Formbook. Potrafi przechwytywać loginy i hasła z przeglądarek, wykonywać zrzuty ekranu, rejestrować naciśnięcia przycisków oraz – jak większość sieciowego paskudztwa – pobierać i uruchamiać inne szkodliwe pliki.
vGyrcOYiDvBGHrx.exe
Rozmiar Pliku: 696KB
MD5: 4861b47980106197465f7c72c29f4e61
SHA1: 4431c8505e9f08b43042a3daa170ec32619a2a2a
C2: wne-coinbase[.]com
Decoys:
- hanaleikeyword.top
- fai.ovh
- jan8.site
- golcondatowing.top
- clearchoiceafh.net
- qinglvzhuang8.com
- luxurywatches.cat
- katoonishop.com
- kw2jm9er.shop
- prodctionlaser.com
- teachertransitionjobboard.com
- qzlr6.site
- kabir.tech
- hnxuefengyuan.com
- abc386.site
- ra-myportfolio.com
- bowanghg.com
- disoklahoma.com
- jordenshoots.com
- imobje.space
- sousou1.com
- kcople.xyz
- qq63904.com
- saucesfoodblog.com
- pittsborokeyword.top
- thebestowing.top
- x3nz.site
- cepxoo.com
- fghvchfgh.work
- berita138brand.xyz
- kopyasetupcleaner.com
- feministfantasypress.com
- osagetowing.top
- towersecurity.blue
- mightyspirit.shop
- noop.site
- classclips.com
- cloudcitytv.com
- jx2dolong.net
- zneckhp.site
- duv2n.com
- towing-pembroke.top
- b4x7wsf.sbs
- cs-share.com
- kgh6h4qv.shop
- sarah-banhamou.com
- mbldgreen.com
- 5e73f4s0.shop
- washingtoncrossingtowing.top
- hokeystar-ua.com
- megq.store
- todoaudiolibros.online
- foxy-store.com
- aukmaldives.com
- runhbr.asia
- dirsupsys.com
- rvonadime.com
- esmurz.top
- dein-kleinunternehmen.store
- bmw2039.com
- coindigigroup.com
- peenetic.com
- upworkmedia.net
- charityresourcellc.com
8cY81v7KTyZ7eBJ.exe
Rozmiar: 800KB
MD5: 09aea76a89c5c5bc4e20048ebc73300b
SHA1: bdc8fc1d96f9bb807d0ba637e89d4a05b52eadfe
Decoys:
- www.tainews.online
- www.blzzrd.store
- www.fytz2.site
- www.wizecove.plus
- www.football-press.net
- www.hudi.codes
- www.naviscode.net
- www.hamdan-enterprises.com
- www.brightsync.top