hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
22 stycznia 2019

Nowy payload fałszywych faktur

Do CERT Orange Polska codziennie wpada po kilka-kilkanaście maili z „fakturami”, oczekującymi na natychmiastową zapłatę. Wielu z Was zdążyło się do nich przyzwyczaić, zazwyczaj automatycznie po prostu je kasujecie, ale dzięki przysyłanym do nas próbkom zauważyliśmy, że przestępcy rozszerzyli serwowaną zawartość.

Do tej pory w lwiej części przypadków otwarcie „faktur” kończyło się instalacją bankerów Danabot lub Emotet. Tym razem analiza załącznika maila z poniższego obrazka wykazała znacznie więcej:

Zawarty w archiwum RAR plik __faktura_7539.vbs instaluje bowiem (bez wiedzy użytkownika rzecz jasna) na komputerze ofiary nowy zaufany urząd certyfikacyjny, usuwa także ustawienia proxy. Technicznie rzecz ujmując jest to Trojan Downloader (wykrywalny obecnie przez 10/58 silników na VirusTotal) i licho wie, co może wrzucić na nasz komputer, jednak instalacja własnego CA może sugerować późniejsze próby ataków Man-In-The-Middle za pośrednictwem przeglądarek.

Administratorom zalecamy sinkholowanie domeny hxxps://faxmessageid.xyz. Przestępcom dziękujemy za podsyłanie nowych próbek na naszego Abuse’a 🙂

17 kwietnia 2024
„Witam, o której chciałbyś przyjść”
Dowiedz się więcej
10 kwietnia 2024
Wcale nie obowiązkowa „aktualizacja” w NFZ
Dowiedz się więcej
2 kwietnia 2024
Nie „weryfikuj” numeru!
Dowiedz się więcej