Wiadomości phishingowe z „wkładką” w postaci LokiBota (złośliwe oprogramowanie, wyspecjalizowane w wykradaniu danych: np. w tym ciasteczek i haseł z przeglądarek, profili popularnych klientów FTP, profili SSH, itp.) za każdym razem trafiają do nas w formie fałszywego dokumentu – czy to zamówienia, czy faktury. W najnowszej kampanii oszuści po raz pierwszy podszywają się Uniwersytet Jagielloński (pod UW już im się zdarzało):

O ile treść maila napisana jest poprawną polszczyzną, o tyle forma już na pierwszy rzut oka dowodzi, że coś jest mocno nie tak.

Określenie „Za dobrą rekomendacją Państwa firmy jesteśmy uniwersytetem (…)” to bezpośrednia kalka z języka obcego, która powinna od razu wzbudzać niepokój odbiorcy maila. O ile w przypadku Uniwersytetu Warszawskiego oszuści podszywali się pod prawdziwe personalia rektora. Tymczasem niezapomniany Stanisław Lem nie tylko nie żyje od 16 lat, na UJ pracował tylko jako młodszy asystent w Konwersatorium Naukoznawczym Asystentów (otrzymał też doktorat honoris causa krakowskiej uczelni). No i poza tym, Lem, czy... Lemon?

W załączniku znajdziemy plik ZAMÓWIENIE PROJEKTOWE 2022.xls, wykorzystujący podatność CVE-2017-11882 w MS Office. Zainfekowany plik pobiera malware spod adresu

hxxp://103[.]28.70.118/35/vbc.exe

by następnie kontaktować się z poniższymi serwerami C&C:

hxxp://208.67.105[.]161/durtch/five/fre.php

hxxp://kbfvzoboss[.]bid/alien/fre.php

hxxp://alphastand[.]trade/alien/fre.php

hxxp://alphastand[.]win/alien/fre.php

hxxp://alphastand[.]top/alien/fre.php

Podziel się: