Oczywiście nie na obsługę sklepu, bo jakość jej działania jest poza obszarem zainteresowania zespołu CERT! Ale fałszywe maile, nadużywające markę francuskiej sieci supermarketów - już tak.

Oczywiście już pierwszy świadomy rzut oka na treść dowodzi, że mamy do czynienia z oszustwem (chyba, że zdarza się Wam "wspomnieć o poniższych pozycjach na PI, aby uniknąć blokowania przez nasze zwyczaje"). Nietrudno jednak wyobrazić sobie kogoś, kto zamówił online zakupy w sklepie spod znaku skowronka i nie zastanawiając się zbytnio nad treścią, zobaczywszy wyłącznie znajome logo - kliknie w treść załącznika. I zainstaluje trojana Agent.Tesla.

Na wszelki wypadek, w razie gdyby ktoś się pomylił, klienci Orange Polska "nie unikną blokowania przez nasze zwyczaje", a dostęp do serwerów C&C, charakterystycznych dla tej kampanii, blokuje już CyberTarcza.

Indicators of Compromise

Kilka dodatkowych informacji dla zainteresowanych:

Plik z załącznikiem: PO-BCF220340.rtf ściąga wirusa spod adresu hxxp://208[.]67.105.179/obinnazx.exe.

W konfiguracji binarki znajdziemy natomiast poniższe informacje:

Protocol: smtp
Host: mail.networkteam.com
Port: 587
Username: r.knickrehm@pmkuntz.de
Password: apb9Q9aRbXBy
Email To: directorprocurement3@gmail.com

Podziel się: