Faktury Orange Polska znów celem oszustów

Patrzcie bardzo uważnie, gdy przyjdzie do Was faktura za usługi Orange Polska! Przestępcy znów podszywają się pod naszą firmę, załączając zamiast prawdziwych dokumentów złośliwe pliki zawierające bankera ZLoader.

Zbliża się koniec miesiąca, więc pora na oczekiwaną korespondencję z firm, z których usług korzystamy. Pamiętajcie, że w wiadomości z Orange Polska, zawierającej fakturę, znajdziecie Strefę Bezpieczeństwa:

Jeśli w mailu nie ma Waszych personaliów (no i jeśli są inne, rzecz jasna) i/lub numer ewidencyjny jest inny, niż ten na poprzednich fakturach, nie otwierajcie załącznika. Jeśli nie macie pewności – zadzwońcie na infolinię Orange Polska, a jeśli jesteście pewni, że macie do czynienia z oszustwem – prosimy, wyślijcie tego maila jako załącznik na adres cert.opl@orange.com.

W przypadku jednej z analizowanych przez nas próbek, mail wysyłany jest z niechlujnie podrobionego adresu:

Od: Orange <biuro@[domena_istniejącej_firmy]>
Do: biuro <adres_ofiary>
Data: 26 października 2020 13:50
Temat: faktura – Orange
 

Rzekoma faktura natomiast wygląda tak:

Po otwarciu załącznika fvs_10.xlsb (MD5 fe4354ff753b6db3c84b890ad34f080a) uruchamiane jest makro, które pobiera plik wykonywalny z adresu
hxxtps://whippingssleu.at/3/zzf.exe
Charakterystyczną cechą instalowanego w kolejnym kroku złośliwego oprogramowania jest fakt „wstrzykiwania” kodu bezpośrednio do przeglądarki i wykradania bez wiedzy ofiary danych logowania do witryn bankowości elektronicznej.

Adres serwera Command&Control to
hxxtps://eecakesconf.at/web982/gate.php