Fałszywe faktury za energię od PGE


Na skrzynki Polaków zaczęła spływać nowa fala fałszywych i złośliwych wiadomości. Tym razem, co jest pewną innowacją, przestępcy podszywają się pod PGE i doskonale wybrali termin wysyłki wiadomości — jest początek miesiąca, a dodatkowo stosują dynamicznie zmieniające się URL-e serwujące złośliwy plik, co zapewne ma utrudnić wyfiltrowanie kampanii przez systemy antyspamowe.

Oto jak wygląda treść e-maila:

FWD__eFaktura_za_energie_elektryczna_2816659247_-_konieczny_gmail_com_-_Gmail

Wiadomości są rozsyłane z różnych adresów e-mail, z opisem:

From: "PGE Biuro Obslugi Klienta"

To:

Subject: eFaktura za energie elektryczna XXXXXXXXXX

gdzie “X” oznacza dowolną cyfrę.

Linki w wiadomości mają następującą postać:

http://sparkles.ro/oEnd6qO/erEHI1gDKio9cs.php?id=E_MAIL&num=9744765024

sparkles.ro has address 85.9.35.128

http://jysproductions.com/wc1ipXhdUvY/X0xKG73H.php?id=E_MAIL&num=3D9184775672

jysproductions.com has address 173.236.11.56

i kierują na różne URL-e (zmiana za każdym ponownym wejściem)

http://namz.pge-ebok34.biz/n38o5.php?id=RV9NQUlM&num=3D9184775672

http://xmn0.pge-ebok34.biz/l17cd.php?id=RV9NQUlM&num=9744765024

pge-ebok34.biz has address 5.9.253.168

wymagające (i tym razem jest to weryfikowane) podania CAPTCHY. Dopiero po jej poprawnym podaniu pobiera się archiwum zip z rzekomą fakturą. Co ciekawe, atakujący nie są zainteresowani pewnymi przeglądarkami internetowymi i systemami operacyjnymi — po wejściu z nich widać następujący komunikat:

fail

Ale użytkownikom Windows pojawi sie taka strona:

PGE_eBOK_-_elektroniczne_Biuro_Obslugi_Klienta_PGE

Po przepisaniu CAPTCHA, na komputer ofiary pobiera się plik PGE_eFaktura.zip, który zawiera plik PGE_eFaktura.js odpowiedzialny za instalację złośliwego oprogramowania. Obecna detekcja na VirusTotal, to 5/56:

Antivirus_scan_for_8d398ede25b2a199defbc131e7f5ad1465a65d10a44bf76006fbf87f72fb88a8_at_UTC_-_VirusTotal

Szczegóły próbki:

MD5 d4d74a9bcdeef11f883266e2c0317fe3

SHA1 fe1085fa5df307c2d2fc3eb91413e0b59e2642a0

PS. Przy okazji przypomnijmy, że fałszywe faktury mogą także trafić do was w postaci wydrukowanej. To już się dzieje. Pisaliśmy o tym 2 miesiące temu.

Aktualizacja 20:00

Jak informuje nas czytelnik Krzysztof:

skrypt szyfruje pliki na dysku oraz lokalizacjach sieciowych, zmienia rozszerzenie plików na .encrypted, w folderach tworzy plik .txt oraz .html HOW_TO_RESTORE_FILES.

Treść pliku txt:

===============================================================================

!!! mamy zaszyfrowane swoje pliki wirusem Crypt0L0cker !!!

===============================================================================

Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy,

dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker.

Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku,

pliki zostaną utracone.

Aby odzyskać pliki trzeba zapłacić.

W celu przywrócenia plików otworzyć naszą stronę internetową

http://de2nuvwegoo32oqv.torfigth.li/mbm5n7.php?user_code=2alqtt0&user_pass=5773

i postępuj zgodnie z instrukcjami.

Jeśli strona nie jest dostępna, wykonaj następujące czynności:

1. Pobierz i zainstaluj Tor-przeglądarkę z tego linku: https://www.torproject.org/download/download-easy.html.en

2. Po instalacji uruchom przeglądarkę i wpisać adres: http://de2nuvwegoo32oqv.onion/mbm5n7.php?user_code=2alqtt0&user_pass=5773

3. Postępuj zgodnie z instrukcjami na stronie internetowej.

źródło: http://niebezpiecznik.pl

Informacje

Jestem absolwentem WSZiA w Zamościu. W latach 1996 -2006 pracowałem dla firmy MABERO PROJEKT-TEL świadczącej usługi w zakresie okablowania strukturalnego i budowy sieci teleinformatycznych. Współpracowałem z firmą NETIA i IT-NET. Obecnie tworzę strony www z wykorzystaniem technologii CMS bazującej na silniku Wordpress i Joomla, odzyskuję dane z każdego nośnika danych, serwisuję komputery, zakładam instalacje logiczne.

Napisane w komputery
Pomiar prędkości łącza

www.netmeter.pl

Archiwum
Yanosik24
Widget Yanosik24.pl

Member of The Internet Defense League

Blog Stats
  • 9,864 hits
%d blogerów lubi to: