Zamawiasz w Auchan? Uważaj!
Oczywiście nie na obsługę sklepu, bo jakość jej działania jest poza obszarem zainteresowania zespołu CERT! Ale fałszywe maile, nadużywające markę francuskiej sieci supermarketów – już tak.
Oczywiście już pierwszy świadomy rzut oka na treść dowodzi, że mamy do czynienia z oszustwem (chyba, że zdarza się Wam „wspomnieć o poniższych pozycjach na PI, aby uniknąć blokowania przez nasze zwyczaje”). Nietrudno jednak wyobrazić sobie kogoś, kto zamówił online zakupy w sklepie spod znaku skowronka i nie zastanawiając się zbytnio nad treścią, zobaczywszy wyłącznie znajome logo – kliknie w treść załącznika. I zainstaluje trojana Agent.Tesla.
Na wszelki wypadek, w razie gdyby ktoś się pomylił, klienci Orange Polska „nie unikną blokowania przez nasze zwyczaje”, a dostęp do serwerów C&C, charakterystycznych dla tej kampanii, blokuje już CyberTarcza.
Indicators of Compromise
Kilka dodatkowych informacji dla zainteresowanych:
Plik z załącznikiem: PO-BCF220340.rtf ściąga wirusa spod adresu hxxp://208[.]67.105.179/obinnazx.exe.
W konfiguracji binarki znajdziemy natomiast poniższe informacje:
Protocol: smtp
Host: mail.networkteam.com
Port: 587
Username: r.knickrehm@pmkuntz.de
Password: apb9Q9aRbXBy
Email To: directorprocurement3@gmail.com