Uwaga na wiadomość od „Paczka w RUCHu”

Ostrzeżenia - czyli na co uważać w necie i jak się przed tym zabezpieczyć.
serwerux1
Forumowicz
Forumowicz
Posty: 149
Rejestracja: 16 maja 2016, 12:16

Uwaga na wiadomość od „Paczka w RUCHu”

Postautor: serwerux1 » 16 maja 2017, 22:19

„Zawsze po drodze”. Paczka w RUCHu – historia drogi jednej Paczki

Najnowsza kampania opiera się na podobnych założeniach jak wiele wcześniejszych, jednak jest kilka szczegółów odróżniających ją od poprzednich. Wiadomość email jest oparta na prawdziwym powiadomieniu od Paczki w RUCHu i wygląda następująco:

Obrazek

o treści:

Kod: Zaznacz cały

Jest! Twoja paczka o numerze 21000555664552 po podróży dotarła prosto od nadawcy do wybranego przez Ciebie punktu prowadzącego usługę „Paczka w RUCHu”. Teraz czeka aż wybierzesz dogodną dla siebie porę i ją odbierzesz.
Kod odbioru: 69***1
Pełny kod odbioru, oraz numer przesyłki znajdziesz w załączonym liście przewozowym.
Kod pozwalający otworzyć list: CYeTnbeP9
Pamiętaj, że przesyłka będzie czekać na Ciebie przez 5 dni. Odbierz ją jak najszybciej i ciesz się już dziś z zakupów.



Co ciekawe, w próbkach z 12. maja znajdowały się także fragmentaryczne dane osobowe odbiorcy, prawdopodobnie pochodzące z jakiegoś wycieku. Przestępca usunął fragment kodu odbioru i dodał informację, że pełny kod odbioru znajduje się w załączniku. W załączniku znajdziemy zatem plik
12-05-2017 Paczka w RUCHu - List przewozowy.7z

W środku znajduje się plik który jest programem w jezyku VBScript, wywołującym polecenia PowerShella.

Pod oboma adresami kryje się ten sam serwer 149.56.201.93, który obsługiwał ostatnio kampanie z fałszywą fakturą Playa oraz fałszywym wyciągiem z PKO BP. Z kolei spam rozsyłany jest z serwera 185.145.44.11, gdzie uruchomiona była usługa C&C bota rozsyłanego wraz z rzekomym wyciągiem PKO BP. Oczywiście do wysyłki spamu wykorzystywany jest także serwer znajdujący się w firmie Nazwa.pl (77.55.1.202). Poniżej kilka linków do VT dla chętnych do dalszego śledztwa.

12-05-2017 Paczka w RUCHu – List przewozowy.wsf
12-05-2017 Paczka w RUCHu – List przewozowy.vbe (wariant spotykany wcześniej, czekamy na hash)
http://walesa.pdns.download/spa/s500.exe (lub także inny wariant i jeszcze jeden – prawdopodobnie koń trojański Bladabindi)

Jak zatem widać, autor kampanii się nie poddaje i nadal eksploatuje sprawdzone techniki

źródło: ZTS

Daystalson
Forumowicz
Forumowicz
Posty: 4
Rejestracja: 02 cze 2017, 13:43
Kontaktowanie:

Re: Uwaga na wiadomość od „Paczka w RUCHu”

Postautor: Daystalson » 02 cze 2017, 13:46

Uch, no przerażające......


_______________
http://xurl.pl/fgPy
donder
Forumowicz
Forumowicz
Posty: 13
Rejestracja: 07 lip 2017, 20:13

Re: Uwaga na wiadomość od „Paczka w RUCHu”

Postautor: donder » 11 sie 2017, 00:41

Ciekawy jestem ile ludzi się jeszcze na to nabiera.


_______________________________
chwilówki za darmo


Wróć do „Scams,Oszustwa,Phishing,bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość