hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Jarosław Kowalczyk nie wysyła Formbooka

Przestępcy wracają do niewykorzystywanego od dawna wektora ataku. Do skrzynek służbowych w polskich firmach trafiają dzisiaj (i być może będą jeszcze przez kilka dni) takie maile:

Imię i nazwisko, pod które podszywają się sprawcy, zostawiliśmy jako istotną informację, jednak dane pozwalające zidentyfikować prawdziwą, istniejącą firmę – usunęliśmy.

W załączniku znajdziemy plik o rozszerzeniu iso, który po rozpakowaniu okaże się być plikiem wykonywalnym Ord8593.exe (md5: afcdd673effcf464d06c021e5ce0d247). Po kliknięciu weń nie zobaczymy rzecz jasna żadnej faktury, lecz zainfekujemy swój komputer stealerem FormbookW południe 26 sierpnia opisywaną próbkę wykrywało 27 z 68 silników antywirusowych.

Próbka posiada w sobie dość charakterystyczne metody by uniknąć wykrycia podczas jej analizy, wdrażając się w takie procesy systemu Windows, jak:

  • ipconfig.exe
  • mstsc.exe
  • msdt.exe
  • svchost.exe
  • msiexec.exe
  • help.exe
  • chkdsk.exe
  • taskhost.exe
  • rundll32.exe
  • cmd.exe

Testowana próbka próbuje się połączyć z jednym z szeregu serwerów Command&Control (część nie jest na obecną chwilę dostępna):

  • hxxp://www.hashburn.net
  • hxxp://www.emoblow.com
  • hxxp://www.cattedralidismeraldo.com
  • hxxp://www.xn--oy2bp4tkrcpa.com
  • hxxp://www.rightlokation.com
  • hxxp://www.emprendedorasdehogar.com
  • hxxp://www.daylamiagency.com
  • hxxp://www.screensaver.network
  • hxxp://www.finegoodses.store
  • hxxp://www.bulukx.com
  • hxxp://www.finegoodses.store
  • hxxp://www.teacheex.com
  • hxxp://www.redevelopment37subhashnagar.com
  • hxxp://www.fastpass.info