Dzisiaj dostałem wiadomość od znajomego, który otrzymał plik pdf i nie mógł go otworzyć więc prosił abym sprawdził co to za plik. Sprawdziłem i jak się okazuje w sieci pojawiła się nowa kampania cyberprzestępców. Rozsyłane są wiadomości e-mail np. z windykacji:
Cytat:Temat: wezwanie do zaplaty, KRU
Drodzy Panstwo,
Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.
Haslo do zalacznika: wezwanie33
—
Kruk S.A
ul. Wolowska 8
51-116 Wroclaw
Jak widać
mało profesjonalnie napisany list z błędami, a poważne firmy i instytucje takich błędów nie popełniają więc to już powinno być ostrzeżeniem.
Do rozsyłanych wiadomości dołączany jest plik
windykacja_nr_98338.pdf.7z tak dokładnie nazywa się plik, ale w folderach końcówki .7z nie widać (jest to końcówka popularnego programu kompresującego 7zip).
Jak się okazuje w sieci rozsyłana jest podobna wersja, która ma ciąg w nazwie
windykacja_nr_98338.pdf.scr ten plik już poddawany badaniu na virustotal.com jest wykrywany jako podejrzany. Wersja jaką ja przedstawiam nie jest zgłaszana jako podejrzana, ale wszystko wskazuje na to, że albo jest to odseparowany plik, z którym ktoś nie mógł sobie poradzić i pojawił się u mnie jako część z całości albo jest to następna wersja akcji jaką uruchomili cyberprzestępcy.
Kod:
Nazwy plików:
payload-windykacja_nr_98338.pdf.scr.dat
aa.pdf.scr
firefox.exe
windykacja_nr_98338.pdf.scr
ed29a3f00c119ce0feaca9031a9988cd9baa7ec5ea78e56c45a10a08552f3bd0.scr
windykacja_nr_98338.pdf
windykacja_nr_98338.pdf.scr.vir
windykacja_nr_98338.txt
Jak podają niektórzy znawcy Security IT jest to akcja z niebezpiecznym oprogramowaniem, którego zadaniem jest kradzież środków z rachunków bankowych w polskich bankach. Podobno są już pierwsze ofiary cyberprzestępców.
Należy też uważać na inne podobne akcje, gdzie rozsyłane są pliki noszące nazwy:
Cytat:faktura_N_09_14_09_2015.pdf.7z
Protokol (do faktury)2015,wrzesnia.DOC.exe
Na koniec potwierdzenie z jednego z podziemnych for odnośnie rozsyłanych trojanów w pdf-ach.