Zaloguj się do usług
bezpieczeństwa
22 stycznia 2019
Nowy payload fałszywych faktur

Do CERT Orange Polska codziennie wpada po kilka-kilkanaście maili z "fakturami", oczekującymi na natychmiastową zapłatę. Wielu z Was zdążyło się do nich przyzwyczaić, zazwyczaj automatycznie po prostu je kasujecie, ale dzięki przysyłanym do nas próbkom zauważyliśmy, że przestępcy rozszerzyli serwowaną zawartość.

Do tej pory w lwiej części przypadków otwarcie "faktur" kończyło się instalacją bankerów Danabot lub Emotet. Tym razem analiza załącznika maila z poniższego obrazka wykazała znacznie więcej:

Zawarty w archiwum RAR plik __faktura_7539.vbs instaluje bowiem (bez wiedzy użytkownika rzecz jasna) na komputerze ofiary nowy zaufany urząd certyfikacyjny, usuwa także ustawienia proxy. Technicznie rzecz ujmując jest to Trojan Downloader (wykrywalny obecnie przez 10/58 silników na VirusTotal) i licho wie, co może wrzucić na nasz komputer, jednak instalacja własnego CA może sugerować późniejsze próby ataków Man-In-The-Middle za pośrednictwem przeglądarek.

Administratorom zalecamy sinkholowanie domeny hxxps://faxmessageid.xyz. Przestępcom dziękujemy za podsyłanie nowych próbek na naszego Abuse'a :)


Ostatnie aktualności

Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl