Zaloguj się do usług
bezpieczeństwa
20 grudnia 2019
Nowa fala "faktur"

W ostatnich dniach nasze systemy obserwują wzmożoną aktywność w sieci Orange Polska trojana Ursnif. To tzw. banker - złośliwe oprogramowanie wyspecjalizowane w kradzieży danych autoryzacyjnych do banków. Dodatkowo, do analityków na całym świecie trafiały już nowe, rozbudowane wersje Ursnifa, wykradające również dane dotyczące kont mailowych z programów pocztowych, loginy i hasła zapamiętywane w przeglądarkach, a nawet te, służące do dostępu do cyfrowych portfeli.

Nowym/starym wektorem ataku są maile, udające faktury. To niby nic nowego, jednak tym razem przestępcy umieszczają złośliwe dokumenty na chmurowym dysku Google Drive. Sprytne po dwakroć: po pierwsze, dostawcy internetu nie mogą zablokować całej domeny, pod drugie zaś (albo po jeszcze bardziej pierwsze) - większa szansa, że ofiara zaufa czemuś, co kojarzy się jej z Google. Co więcej, zip z "fakturą" jest jeszcze relatywnie bezpieczny - dopiero po rozpakowaniu skrypt vbs pobiera skrypt powershell, który w następnym kroku, już na komputerze ofiary, wykonuje.

Najwięcej próbek, które do nas trafiły, udawało faktury z sieci Play, o czym ostrzegaliśmy na Twitterze.

Hej, @Play_Polska - źli ludzie podszywają się pod Wasze faktury! Sposób podobny jak w https://t.co/muCsgBRt2k, więc pewnie "w promocji" dodają #Ursnif. pic.twitter.com/41NhLGGzV0

— CERT Orange Polska (@CERT_OPL) December 13, 2019

Absolutnie nie należy tego jednak traktować jako normy - trafiło też do nas kilka maili, podszywających się pod faktury istniejących małych i średnich firm.

Indicators of Compromise

Na koniec oczywiście czas na IoC.

Faktyczna lokalizacja dokumentu ZIP hxxps://whenbuyyousale.co

Pobranie skryptu powershell hxxps://joplionnsld.xyz; hxxps://findfiooos.xyz

Odwołanie z powershella hxxps://seioodsoi.club/chkesosod/downs/VhQWr


Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl