Nowa fala ataków – na celowniku Multimedia i Alior Bank

Ostrzeżenia - czyli na co uważać w necie i jak się przed tym zabezpieczyć.
serwerux1
Forumowicz
Forumowicz
Posty: 175
Rejestracja: 16 maja 2016, 12:16

Nowa fala ataków – na celowniku Multimedia i Alior Bank

Postautor: serwerux1 » 24 kwie 2017, 23:08

W styczniu mieliśmy DPD i Playa, w lutym Zarę i kancelarie, w marcu TPay, PayU i Netię, z kolei w kwietniu przyszła kolej najpierw na wiadomości podszywające się pod mBank, a teraz także Alior Bank oraz Multimedia Polska. Wszystkie te ataki mają tyle punktów wspólnych.

Fałszywe wiadomości

Od piątku 21 marca do skrzynek Polaków trafiają wiadomości podszywające się pod Multimedia. Trafiają codziennie – mamy już próbki z kolejnych czterech dni. Wiadomość wygląda następująco (nie obserwowaliśmy żadnych zmian):

Obrazek

Wiadomość przychodzi ze sfałszowanego adresu używanego przez Multimedia Polska do rozsyłania swoich faktur, również treść jest w dużym stopniu zgodna z zazwyczaj używanym szablonem (chociaż charakterystyczny dla oszustwa jest brak polskich liter, a dla osób spostrzegawczych także data 31go kwietnia). Główną różnicą jest oczywiście załącznik, zawierający dobrze nam już znanego konia trojańskiego vjw0rm. W archiwum


FVT MMP 00220408 0317.7z

zabezpieczonym hasłem podanym w emailu znajduje się folder

MMP 00220408 0317

a w nim z kolei plik
FVT_MMP_00220408_0317_PDF ssl.multimedia.pl.js

Plik jest zaciemniony w dość charakterystyczny sposób i wygląda tak:

Obrazek

Po odkryciu właściwego kodu znaleźć możemy starego dobrego vjw0rma oraz informacje o używanych przez niego serwerach C&C (dane znajdziecie pod koniec artykułu).
Nie tylko Multimedia

Dostaliśmy od Was bardzo dużo próbek kampanii powiązanej z marką Multimedia i tylko jedną związaną z Alior Bankiem. Najwyraźniej ta druga kampania miała nieco mniejszy zasięg, niemniej wygląda na tego samego autora, ponieważ zawiera podobny załącznik z tym samym serwerem C&C.

Obrazek

Ślady przestępcy

Autor tych kampanii najwyraźniej nie stara się ukrywać powiązań pomiędzy poszczególnymi wysyłkami. Mogliśmy przeanalizować różne próbki i wszystkie wiadomości były wysłane z tego samego adresu należącego do OVH, za pośrednictwem albo darmowego hostingu ivi.pl, albo hostingu nazwa.pl. Oto kolejne nagłówki z 4 dni:

Received: from [149.56.201.93] ([127.0.0.1]) by maill.ivi.pl
Received: from [149.56.201.93] (ip93.ip-149-56-201.net [149.56.201.93]) by aleksandrain.nazwa.pl
Received: from [149.56.201.93] (ip93.ip-149-56-201.net [149.56.201.93]) by aleksandrain.nazwa.pl
Received: from [149.56.201.93] (ip93.ip-149-56-201.net [149.56.201.93]) by sulawa919.nazwa.pl

http://kwiecien2017.proxydns.com:3074
http://kwiecien2017.proxydns.com:1334
http://kwieciencc.pdns.cz:1411

Serwer kwiecien2017.proxydns.com ma adres IP 185.75.59.202, który jest nam znany z kampanii podszywającej się pod mBank (tam złośliwe pliki pobierane były z domeny kwieciencc.pdns.cz spod tego samego adresu IP). Z kolei domena kwiecien2017.pdns.cz skakała ostatnio po różnych adresach IP, z których jeden (154.16.195.150) był także powiązany z domeną kwiecien2017.proxydns.com.

Podsumowując charakterystykę ataku:

wykorzystanie polskich marek,
wykorzystanie prawdziwych szablonów wiadomości,
archiwum z hasłem,
zaciemniony JavaScript,
vjw0rm,
serwery C&C oparte o darmowe serwery DNS,
wysyłka emaili z serwerów nazwa.pl.

źródło: ZTS

Wróć do „Scams,Oszustwa,Phishing,bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość