SPAM: Nieudana próba podszycia się pod wizerunek ZUS | AVLab.pl

Od naszego Czytelnika właśnie dotarła do nas wiadomość e-mail z próbą zainfekowania komputera szkodliwym oprogramowaniem pod pozorem nierozliczonych składek na ZUS. Tak, ktoś wykorzystuje wizerunek państwowej instytucji, która i tak już jest dostatecznie znienawidzona przez przedsiębiorców. Na szczęście rzekome powiadomienie o zaległych składkach nie jest prawdziwe, chociaż może zawierać szkodliwe oprogramowanie.W tym przypadku nie udało nam się zainfekować systemu operacyjnego. Do tego celu wykorzystujemy specjalną platformę, która pozwala nam zautomatyzować cały proces w bezpiecznym i odizolowanym środowisku. Szczegóły tutaj.My dokonaliśmy już analizy. Wy nie musicie, ponieważ spam, który możecie otrzymać, może przybrać podobną postać  — autor kampanii może się poprawić, ale nie musi, i zmieni linki do malware, które już mogą zawierać poprawnie działającego wirusa.Oryginalna wiadomość:Od: ZUS@gov.plTemat: Zalegle skladkiZ powazaniem[ZAKLAD UBEZPIECZEN SPOLECZNYCH]SKLADKI NA DZIEN 2018.10.10[Szamocka 3/5 · +48 22 560 16 00]e-mail: [zus@gov.pl]www: [zus.pl]To tylko na szczęście nieudana próba rozprzestrzeniania szkodliwego pliku.Identyfikujący nagłówek spamera lub ofiarę z zainfekowanym PC rozsyłającym spam:Received: from WIN-OQJUIMC71B6 (23.83.133.126) by CO1NAM04FT029.mail.protection.outlook.com (10.152.90.172) with Microsoft SMTP Server id 15.20.1228.17 via Frontend Transport; Wed, 10 Oct 2018 09:23:21Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0); Wed, 10 Oct 2018 02:23:20 -0700Po kliknięciu w hiperłącze SKLADKI NA DZIEZ 10.10.2018 ofiara jest przenoszona do strony:hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Skadkinadzien2018.10.10.zipNa tej stronie następuje przekierowanie do:hxxps://www.sendspace.com/file/dzgd8lStrona zawiera kolejny link do pobrania archiwum ZIP o nazwie „Składki na dzien 2018.10.10.zip”.Strona hostująca pliki zawierała link do pobrania archiwum ZIP z dokumentem DOC.Rozpakowany ZIP bez hasła zawiera plik „Składki na dzien 2018.10.10.doc”, a jego suma kontrolna to:0f58b5faf9a9a765a06ec644e8ea946a3099f41f3d1d7201ed02ac90a29d3b89Na pierwszy rzut oka jest to typowy makrowirus, czyli szkodliwe oprogramowanie zaszyte w dokumencie pakietu Office. Zazwyczaj po otworzeniu dokumentu widoczne jest ostrzegawcze okienko przed złośliwą zawartością. W tym przypadku dokument jest nieudaną próbą rozprowadzania szkodliwego oprogramowania. Oprócz „krzaków” plik nie zawiera żadnych poleceń makro:Niepoprawnie przygotowany makrowirus.Chociaż pobrany plik całkowicie i zupełnie jest nieszkodliwy, to prawdopodobnie już niedługo spamer spróbuje się poprawić i rozesłać w eter linki do poprawionego złośliwego dokumentu.Nie ma co płakać nad rozlanym mlekiem. Czytelnikom przypominamy, że jeżeli dokument zawierałby polecenia makro, to na 100% uruchamiałby komendy w PowerShell. A przed takim zagrożeniem nie jest trudno się chronić, jeśli dysponuje się odpowiednim oprogramowanym zabezpieczającym, które potrafi monitorować uruchamiane polecenia w systemowych interpreterach. Na znaczeniu nabierają także programy, które detonują nieznane pliki w odizolowanym środowisku (sandbox).Do skutecznego zabezpieczenia komputerów mocno rekomendujemy zapoznanie się z praktycznymi wskazówkami ochrony przed podobnymi zagrożeniami. Czytelnikom, którzy chcieliby zabezpieczyć komputery bezpłatnym oprogramowaniem antywirusowym, polecamy nasz poradnik rekomendowanym darmowych antywirusów.Pamiętajcie, że zainfekowany PC lub jedno z urządzeń internetu rzeczy dokładnie w taki sposób może rozsyłać spam. Jako społeczność zrzeszona w Internecie wszyscy razem jak jeden mąż odpowiadamy za bezpieczeństwo innych internautów. Jeżeli macie jakieś pytania odnośnie do ochrony i zabezpieczeń, prosimy o komentarze.

Source: SPAM: Nieudana próba podszycia się pod wizerunek ZUS | AVLab.pl

Write a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *