Uwaga na wiadomości rozsyłane rzekomo z KRD

Fundacja Bezpieczna Cyberprzestrzeń

malware

Czy Twoja firma została już wciągnięta do rejestru długów?

Oczywiście to jest przewrotne pytanie. Od wczoraj bowiem w skrzynkach wielu internautów, a w szczególności w tych przypisanych do kont firmowych, pojawiły się informacje, które rzekomo wysyła Krajowy Rejestr Długów (KRD) i które mówią o wciągnięciu na listę dłużników. Do informacji dołączony jest raport w formacie MS Word, który rzekomo informuje o szczegółach. Absolutnie nie należy otwierać załączonego pliku gdyż zawiera on złośliwe oprogramowanie i może zainfekować komputer odbiorcy wiadomości. Wiadomość rozsyłana jest z tytułem „Powiadomienie o wciagnieciu na liste dluzników KRD”.

 

rys-1

 

Rys. 1 – Wiadomość rozsyłana rzekomo z KRD, zawierająca złośliwe oprogramowanie

Kto jest nadawcą?

Oczywiście jest to adres podstawiony przez atakującego, jest to “Krajowy Rejestr Długów <[email protected]>”. Oczywiście kolejny raz zwracamy uwagę, żeby dokładnie czytać komunikaty, ponieważ zazwyczaj w fałszywych wiadomościach są widoczne błędy w pisowni wyrazów. W tym wypadku nie ma polskich fontów. Do wiadomości dołączony jest plik MS Word o nazwie “Raport_KRD_24_09_2014.doc”. W pliku tym znajduje się makro pobierające plik z adresu: httx://s1.directxex.net/uploads/kQx-bAdiw9bF7G2bYT1fygY4X0np2wcPYSZEEi03y0KBze4CkUXn8HK4i91E-RLKhXQlCP7EjohfF6nAinaYNbceI7OjuJC7S1p6. Część z programów antywirusowych już rozpoznaje ten adres jako “Malware Site”, co można sprawdzić w serwisie VirusTotal. Po otwarciu pliku Word następuje próba pobrania złośliwego kodu z powyższego adresu. Plik ten również jest rozpoznawany przez część AV-ów jako złośliwy kod. Podawane są następujące nazwy: Trojan/Win32.Blocker, MSIL:GenMalicious-AJY [Trj], TR/Injector.FNJ, Backdoor.Win32.Androm.fbnz czy Artemis!81CFC9F99FC4. Z najbardziej popularnych programów AV z wykryciem złośliwego oprogramowania radzą sobie (stan na 30/09/2014 godzina 11:00) Avast, Avira, ESET, Kaspersky, McAfee. Na baczności powinni być ci, którzy korzystają z AVG, ClamAV, F-Secure, Microsoft, Norman, Panda, Sophos, Symantec, TrendMicro.

 

rys-2

Rys. 2 – Raport z serwisu VirusTotal pokazujący rozpoznanie URL jako strony infekującej.

 

rys-3

 

Rys. 3 – Raport z serwisu Virus Total pokazujący rozpoznanie ściąganego z Internetu pliku jako złośliwego kodu.

Share Button