Kolejna fala malware z @orange.pl
Do CERT Orange Polska trafiły wiadomości o kolejnej serii phishingowych maili z domeny @orange.pl z domniemanymi nieopłaconymi fakturami. Adres nadawcy ma podobną formę jak w przypadku pierwszej fali – imię i nazwisko (lub nazwa) poprzedzone literami „sp”. W próbce, którą analizowaliśmy, sp i od pozostałych danych oddzielone było kropką (poprzednio znakiem _). Nadawcą drugiej z próbek był natomiast adres firma_luiza82@orange.pl, zawartość pliku XLS była dokładnie taka sama.
![](https://cert.orange.pl/wp-content/uploads/2023/10/9fdf61446e7e4753749cb809e7e63ff5037d1f34-1024x219.png)
Do wiadomości załączony jest dokument XLS, zawierający złośliwy kod. Ukryty w nim trojan bankowy Nymain w momencie analizy wykrywany był jedynie przez 6 z 67 silników antywirusowych. Pamiętajcie – nasze faktury przychodzą wyłącznie z domeny @pl.orange.com.
![](https://cert.orange.pl/wp-content/uploads/2023/10/249a8e151b4ed919df638d9697dd2334107cea7c-1024x279.png)