Fałszywe maile podszywające się pod Orange!

Dosłownie kilka chwil temu wpadły do nas dwa nowe oszustwa, podszywające się pod Orange Polska. Jedno udaje fakturę za usługi telekomunikacyjne, drugie zaś informuje o rzekomym błędzie przy przedłużaniu usług. Liczba zgłoszeń, które dotarły do CERT Orange Polska, wskazuje na to, że mamy do czynienia z wyjątkowo dużą, jak na ostatnie tygodnie, falą fałszywych wiadomości mailowych.

Pierwszy przykład to klasyczna już rzekoma faktura do opłacenia:

Tym razem do wiadomości dołączony jest plik w formacie xlsm, zainfekowany trojanem Danabot. IoC znajdziecie na końcu tekstu.

Drugi atak to już znacznie mniej wyrafinowany atak, wyłudzający numer karty płatniczej. Zaczyna się od e-maila o problemach z przedłużeniem usług:

Kliknięcie w link przeniesie nas ostatecznie na stronę, przekonującą nas do „płatności kartą”, której dane trafią wtedy oczywiście od razu do przestępców:

Część próbek dotarła do nas od internautów nie korzystających z usług Orange Polska. Dlaczego akurat do nas? Pozwolimy sobie zacytować jedną z wiadomości:

„Nie mam u Was usług, ale wiem, że prosicie w sieci, żeby wysyłać do Was takie podejrzane maile”

Dziękujemy za zaufanie i prosimy o więcej! Adres cert.opl@orange.com jest do Waszej dyspozycji.

Indicators of Compromise

I na koniec tradycyjnie informacje dla administratorów i wszystkich, którzy chcieliby proaktywnie zapobiec zagrożeniu:

Danabot z pierwszego przykładu pobiera plik dll z adresu:

hxxp://post-990094.at

by następnie komunikować się z C&C pod następującymi adresami:

8.208.80.234    
45.147.228.92  
172.81.129.196
54.38.22.65       
192.236.179.73
51.255.134.130
192.99.219.207
23.82.140.201