Uwaga na wiadomości rozsyłane rzekomo z KRD

, ZZOLD zagrożenia teleinformatyczne

 

Czy Twoja firma została już wciągnięta do rejestru długów?

Oczywiście to jest przewrotne pytanie. Od wczoraj bowiem w skrzynkach wielu internautów, a w szczególności w tych przypisanych do kont firmowych, pojawiły się informacje, które rzekomo wysyła Krajowy Rejestr Długów (KRD) i które mówią o wciągnięciu na listę dłużników. Do informacji dołączony jest raport w formacie MS Word, który rzekomo informuje o szczegółach. Absolutnie nie należy otwierać załączonego pliku gdyż zawiera on złośliwe oprogramowanie i może zainfekować komputer odbiorcy wiadomości. Wiadomość rozsyłana jest z tytułem „Powiadomienie o wciagnieciu na liste dluzników KRD”.

Kto jest nadawcą?

Oczywiście jest to adres podstawiony przez atakującego, jest to “Krajowy Rejestr Długów <[email protected]>”. Oczywiście kolejny raz zwracamy uwagę, żeby dokładnie czytać komunikaty, ponieważ zazwyczaj w fałszywych wiadomościach są widoczne błędy w pisowni wyrazów. W tym wypadku nie ma polskich fontów. Do wiadomości dołączony jest plik MS Word o nazwie “Raport_KRD_24_09_2014.doc”. W pliku tym znajduje się makro pobierające plik z adresu: httx://s1.directxex.net/uploads/kQx-bAdiw9bF7G2bYT1fygY4X0np2wcPYSZEEi03y0KBze4CkUXn8HK4i91E-RLKhXQlCP7EjohfF6nAinaYNbceI7OjuJC7S1p6. Część z programów antywirusowych już rozpoznaje ten adres jako “Malware Site”, co można sprawdzić w serwisie VirusTotal. Po otwarciu pliku Word następuje próba pobrania złośliwego kodu z powyższego adresu. Plik ten również jest rozpoznawany przez część AV-ów jako złośliwy kod. Podawane są następujące nazwy: Trojan/Win32.Blocker, MSIL:GenMalicious-AJY [Trj], TR/Injector.FNJ, Backdoor.Win32.Androm.fbnz czy Artemis!81CFC9F99FC4. Z najbardziej popularnych programów AV z wykryciem złośliwego oprogramowania radzą sobie (stan na 30/09/2014 godzina 11:00) Avast, Avira, ESET, Kaspersky, McAfee. Na baczności powinni być ci, którzy korzystają z AVG, ClamAV, F-Secure, Microsoft, Norman, Panda, Sophos, Symantec, TrendMicro.

 

rys-2

Rys. 2 – Raport z serwisu VirusTotal pokazujący rozpoznanie URL jako strony infekującej.

 

rys-3

 

Rys. 3 – Raport z serwisu Virus Total pokazujący rozpoznanie ściąganego z Internetu pliku jako złośliwego kodu.

Share Button

Category

ZZOLD zagrożenia teleinformatyczne

Date

You May Also Like

Czy patent zarejestrowany przez Apple może zagrażać wolności słowa?

Polityka prywatności Facebooka

“Czy możemy ślepo wierzyć jakiemukolwiek rządowi?”

NSA łamała SSL, TLS, AES?

Zapraszamy na konferencję naukową – Ataki Sieciowe 2017

Wielki wyciek danych Adobe

More Posts From: ZZOLD zagrożenia teleinformatyczne

VENOM poważny błąd w środowiskach wirtualizacyjnych

Narzędzie pozwalające usunąć SuperFish

Uwaga na CTB-Locker

Uwaga na lukę typu 0day w Windows!

Uwaga na wiadomości rozsyłane rzekomo z KRD

BlackEnergy - nowa kampania uderza w Ukrainę i Polskę