Kolejna fala malware z @orange.pl

Do CERT Orange Polska trafiły wiadomości o kolejnej serii phishingowych maili z domeny @orange.pl z domniemanymi nieopłaconymi fakturami. Adres nadawcy ma podobną formę jak w przypadku pierwszej fali – imię i nazwisko (lub nazwa) poprzedzone literami „sp”. W próbce, którą analizowaliśmy, sp i od pozostałych danych oddzielone było kropką (poprzednio znakiem _). Nadawcą drugiej z próbek był natomiast adres firma_luiza82@orange.pl, zawartość pliku XLS była dokładnie taka sama.

Do wiadomości załączony jest dokument XLS, zawierający złośliwy kod. Ukryty w nim trojan bankowy Nymain w momencie analizy wykrywany był jedynie przez 6 z 67 silników antywirusowych. Pamiętajcie – nasze faktury przychodzą wyłącznie z domeny @pl.orange.com.