dodany: 20.03.2013 | tagi: , ,

Autor:

Ostrożnie z otwieraniem faktur 21 marca!

30

4 marca laboratoria Kaspersky Lab odnotowały dużą liczbę nietypowych e-maili zablokowanych przez nasz produkt Linux Mail Security. Wszystkie e-maile zawierały ten sam załącznik PDF (MD5: 97b720519aefa00da58026f03d818251), ale były wysyłane z wielu różnych adresów źródłowych.

Wiadomości te były napisane w języku niemieckim i w większości zostały wysłane z niemieckich adresów IP. Poniżej znajduje się mapa pokazująca rozkład adresów:

Mapa fałszywych e-maili

 

Nazwy komputerów wymieniane w nagłówkach e-mail często miały formę Andreas-PC lub Kerstin-Laptop (imiona zostały zmienione dla ochrony ofiar) sugerując, że zostały wysłane z niemieckich komputerów domowych.

Poniżej znajduje się przykładowy e-mail:

przykładowy e-mail

Nazwy załączników PDF miały formę: „Mahnung recipents name.pdf” (Mahnung oznacza ‚przypomnienie’ lub ‚powiadomienie o opóźnieniu w płatności’), a wykorzystywanym exploitem był CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). PDF został zablokowany przez Kaspersky ZETA Shield i jest wykrywany jako Exploit.JS.CVE-2010-0188.e. Exploit nie jest łatwy do wykrycia, ponieważ ukrywa się pod dwiema warstwami JavaScript.

 

Pierwsza warstwa Javascript

Pierwsza warstwa Javascript.

 

Druga warstwa Javascript

Druga warstwa Javascript.

 

Odszyfrowany Shellcode

Odszyfrowany Shellcode.

Druga warstwa wygląda bardzo podobnie do kodu JavaScript, jaki widzieliśmy w kilku próbkach zestawu exploitów BlackHole z zeszłego roku. Jeżeli exploitowi powiedzie się, pobierze plik wykonywalny z seodirect-proxy.com/adobe-update.exe.

Pobrane szkodliwe oprogramowanie (MD5: 3772e3c2945e472247241ac27fbf5a16) jest wykrywane przez Kaspersky Lab jako Trojan.Win32.Yakes.cngh. Zawiera różne włoskie ciągi znaków („lastoriasiamo”, „famiglia”, „badalamenti”, „impastato”), które mogą mieć związek z Mafią. Zawiera również następujące informacje o wersji:

BTP to prawdopodobnie obligacje włoskiego rządu, Bund to obligacje niemieckiego rządu, natomiast „Spread BTP/Bund” to sposób porównania różnicy między dochodami.

Gdy szkodliwe oprogramowanie działa, wyświetla następujący komunikat o błędzie:

Następnie instaluje się w folderze tymczasowym z losową nazwą (np. vlsnekunrn.pre) i próbuje skontaktować się z zeouk-gt.com.

 

Przeszłość

Przeglądając wcześniejsze informacje zwrotne analitycy Kaspersky Lab dostrzegli podobne schematy w dniach 4 i 21 kilku miesięcy.

 

Luty 2013

21 lutego zablokowaliśmy ogromną liczbę e-maili zawierających bardzo podobny załącznik PDF. Tym razem w nazwach załączników znajdował się wyraz „Rechnung” (co oznacza ‚faktura’) oraz data (np. Rechnung_201302.pdf oraz 2013_02rechnung.pdf). Nadawcy pochodzili z bardzo różnych państw, w tym z Afryki Południowej, Stanów Zjednoczonych, Australii i Japonii. Tym razem nazwy komputerów wymieniane w nagłówkach e-maili wyglądały na wygenerowane losowo (np. ydopsgf i bxahwdkw) i – co ciekawe – nagłówki zawierały również odwołanie do domeny zeus3.hostwaycloud.com.

Odszyfrowany JavaScript dla tego exploita był prawie identyczny z próbką powyżej, jednak szkodliwe oprogramowanie było pobierane z kilku adresów URL:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe

corcagnani.de/host.exe

kkc-hannover.de/modules/mod_search/helper.exe

capital-success.de/pg/helper.exe

 

Styczeń 2013

4 stycznia próbka miała nazwę Rechnung201301.pdf, a szkodnik był pobierany z następujących adresów URL:

kohnle-gros.de/css/styleneu.exe

fairdealshop.co.uk/modules/mod_newsflash/helper.exe

emct.org.uk/downloads/server-stats.exe

Listopad 2012

21 listopada próbka miała nazwę RECHNUNG000201211.pdf i pobierała szkodnika z:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe

coachplay.co.il/mapa/images/mapa.exe

 

Przyszłość

Wygląda na to, że jest to bardzo dobrze przemyślana kampania i nie zanosi się na jej koniec. Dlatego, jeżeli otrzymasz fakturę 21 marca lub 4 kwietnia, zachowaj szczególną ostrożność. Z drugiej strony, autorzy mogą zmienić datę faktury, dlatego lepiej mieć się na baczności przez cały czas.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

30 odpowiedzi na “Ostrożnie z otwieraniem faktur 21 marca!”

  1. avatar Robal napisał(a):

    Brawo, nie dość że skopiowaliście artykuł od kasperskiego słowo w słowo bez podania jakichkolwiek informacji o tym, to jeszcze błędnie przykleiliście obrazki :< I to już nie pierwszy raz kiedy kopiujecie czyiś artykuł bez podania źródła.

    Oryginał: http://www.viruslist.pl/weblog.html?weblogid=860

  2. avatar Robal napisał(a):

    Tak, zgadza się: informacja prasowa. Tak, zgadza się: informacja prasowa może być wzięta dosłownie (choć może służyć jako inspiracja do napisania czegoś swojego). Ale proszę Was, podawajcie źródło informacji. Potem dochodzi do takich absurdów jak: „Kaspersky Lab odnotowały dużą liczbę nietypowych e-maili zablokowanych przez nasz produkt Linux Mail Security”. Czyli, że Linux Mail Security to produkt WebSecurity.pl? Bo skąd mam wiedzieć czy ta informacja prasowa jest Waszego autorstwa czy verbatim?

  3. avatar laptops napisał(a):

    Appreciate the particular good writeup. It the truth is was once your discretion consideration the idea. Glimpse challenging to additional released agreeable by you! By the way, how can we keep in touch?

  4. avatar ibm lenovo accessories napisał(a):

    Howdy very cool web site!! Guy .. Beautiful .. Amazing ..
    I will bookmark your web site and take the feeds also? I am satisfied to find
    numerous useful information here within the put up, we want develop
    extra strategies in this regard, thanks for sharing.

    . . . . .

  5. This useful video teaches you how to access French only sites from everywhere. It Is fast and simple to use application program, that requires no technical knowledge,

  6. avatar tumblr crawler napisał(a):

    TumblMacin photo crawler is for you, if you use Tumblr and you have taken hundreds of images, if you want a fast and very simple way to backup and save them to your computer, TumblMacin picture backup can get the job done for you and safes you a lot of time.

  7. avatar Google Passed Proxy napisał(a):

    Fantastic informations from you man. I really enjoyed reading it.

    I am interested about computer security and I can confirm that an authorized access attacks can be reject by taking correct kind of authorization are used to contact the PC and by only permit certain clients to access the proxy based on IPs.

    A good L1 proxy list can help so much. I use proxy-shadow service to get my security proxy.

    Bye, I will read daily your interesting website.

  8. avatar Teknomatrix napisał(a):

    You can unquestionably call at your knowledge within the work you’re writing. This field desires of even more enthusiastic authors such as you that aren’t afraid to cover the way they think. On a regular basis do your own heart.

  9. avatar USA Proxy server napisał(a):

    It’s proper time for it to create a few blueprints for the future plus its a chance to feel very special. I read through this publish and if I could just simply I must help you number of amazing elements or maybe suggestions. You could can compose upcoming articles in regards to this write-up. I wish to get more info reasons for the idea!

  10. avatar French TV Online napisał(a):

    Hey. I stumbled upon your site use of live messenger. That is a rather well published write-up. I’m going to ensure that you bookmark them and go back to study additional of this handy data. Information write-up. Let me unquestionably come back.

  11. Heya i am for the primary time here. I found this board and I to find It really useful & it helped me out a lot. I’m hoping to present something back and aid others like you helped me.

  12. For a nice and browsing online more than Three hours at present, however in no way observed any kind of fascinating article like yours. It is actually attractive amount more than enough in my situation. In my view, in the event that just about all web owners along with bloggers designed excellent information since you probably does, online will be a great deal more handy than ever before.

  13. Jeśli zauważysz nie tyle harmonii, kruche kończyn, utrata pamięci i bardzo słabe sychronisation jak

    może grupa wiekowa, zaczynają brać witaminy

    uzupełnienie zdrowia. Większość ludzi tam że starość jest

    przyczyną zapominanie jeszcze jednak może być również witaminy suplement niedobór

    witaminy B12. Porozmawiać z lekarz o badania aby dowiedzieć się, czy jesteś żywieniowy niedoborem witaminy B12 i jak bardzo należy

    suplement w twojej dieta. just click the up coming site

    (http://www.goodreads.com/psycholog148) Kiedy jesteś obejmującym konkretnego epoki

    i pewne by najlepszym sposobem kosmetyki w idealne sposób upewnij się, dźwigni makijaż specjaliści w lokalnych centrum.

    Zdecyduj się na firma to apeluje do was i rzucać Twój własny w dół w siedziba z bardzo najbardziej wykwalifikowana – szuka produkty do makijażu pochwał.

    Będą zadowolony świadczenia dużo darmo

    pomocne porady na Najprostszym sposobem przynieść Twój „teraz”

    Atrakcyjność się. Niezależnie od tego,

    czy kupisz ich produkty i usługi lub nie jest całkowicie twoja decyzja,

    a Przekształcenie i propozycje mają swobodę i własną nieruchomość posiadać.

    More (psycholog184.angelfire.com)

    Dodawanie zielona herbata liściasta dla Twojego z dnia na dzień

    Program na pewno może poprawić swoje anty – starzenie schemat!

    Ekstrakt z zielonej herbaty może pomóc konstruować swoje poziom odporności w

    opozycji do wielu warunki w tym nowotwory i że od a także inne neurologiczne Warunki z starzenie.

    Także przyjmują do wiadomości,, zielona herbata może pomóc systemu w jego zdolności do spalić tłuszcz, co czyni go tak stała akcesoria do Twój żywność lista jest bardzo mądra decyzja!

    sources ( <a href="http://www.mycroburst.com)” target=”_blank”>www.mycroburst.com) Wskazówka

    dla pozostałe młodszy, nawet gdy system jest starzeje,

    byłoby zawsze nauka. Dowiedz się więcej na temat aktywnie gra most, wykorzystanie Komputer osobisty, rosnące rośliny, stolarka lub co może chcieli nauczyć

    wcześniej w Twoje życie ale nie trzymać czas i energię, aby zrobić.

    jak twój wasze dzieci produkowany, nie będziesz już pobrać wymówki

    z nie potrzebuje czasowa do spojrzeć te nowe eskapady z nauka.

    W żaden sposób nie umożliwić umysł pozostać nieproduktywne!

    next page (hummaa.com)

    To jest rzeczywiście w żaden sposób zbyt późno, zrezygnować palenia dla aby słaby starzeje.

    Używanie tytoniu nie po prostu poprawia zwiększa ryzyko rak płuc i rozedma płuc,

    jest związana kilka rak odmian raka, choroby sercowo-

    choroby serca, i zmniejszyła potencjał do czynienia z choroba.

    Oczywiście, Ponadto prowadzi fatalny wpływ na

    skóra. Przez Stop smoking, starzeje może być o

    wiele bardziej komfortowe a może i będziesz wydłużyć życie codzienne długość.

    continue reading this.. (wjo.pl) W przypadku jesteś sobie sprawę, tajemnice do zapobieganie starzeje,

    pomyśl cały czas i ich mógłbyś zmniejszyć sztuczek, płyny i kremy.

    Niestety, jest odrębne pewne magiczna formuła to hamuje nam starzeje.

    Jako alternatywa, starzeje dobrze dostaje cel wiele ludzi.

    Wózki Twój ogólny stan zdrowia i spojrzenie co

    najlepsze może być nieco dużo łatwiej jeśli mieszanka kilka porad, na przykład wersji w poniższych punktach,

    w twojej codzienne sposób życia. simply click the up coming website (http://www.aws.org/cgi-bin/mwf/user_info.pl?uid=1…) Aby pomóc cały dzień,,

    używać smukły powlekanie z powiek w dopasowywania koordynującego kolor wokół górze niego.

    Większość eyeliners mają tendencję zmniejszyć lub zarządzania w dzień To może być

    szczególnie dokładne dla olej – skupione eyeliner kredki.

    Można Eradicate ten problem przez szorowania A powlekanie z uzupełnianie

    eyeshadow prosto na góry eyeliner pomocą cienka makijaż czyste.

    To pomaga ustawić to dlatego pobyty w miejscu cały dzień.

    his comment is here, friendfeed.com, Bynajmniej nigdy używać krem gdy znajdziesz sam

    bardzo szybko od tego zazwyczaj prowadzić do tragedia!

    To naprawdę jest jeden uroda Produkt trzeba spiesz z bo skończyć szuka dziwaczne, więc łatwy opalania balsam łokcie ponad kolana i .

    ft i czyste obie ręce obszernie zapobiec smug. Wykorzystaj swoje krem dobrze przed czasem z odpoczynku w celu uniknięcia

    ogółem Pech praca i wcześniej któregokolwiek wyjątkowy dzień, na wypadek!

    Read the Full Guide (folkd.com) fantastyczny propozycja dla zdrowe starzeje jest

    się, aby zobaczyć lekarz na bieżąco. Twój osobisty lekarz posiada

    identyczne Idea podczas – utrzymanie całe ciało w ogólny stan zdrowia.

    Przez znalezienie czasu do uzyskania standardowe Sprawdzanie Ups,

    jesteś w stanie zazwyczaj połów małe problemy zdrowotne dobrze przed się dużych głównych

    problemów zdrowotnych. Dodatkowo jest to istotne, że rutynowe średnia wzrok

    i stomatologiczna Oceny zbyt. My Source – tinychat.com, na początku na

    to write-up, prawie na pewno trzymać czas dostać splendor Program z stresującym harmonogram.

    Kto może mieć czasu kiedy posiłek rano należy produkowany, dzieci powinien dostać przygotowane dla szkoła i powinieneś dostać do pracy ?

    O i nie zapomnieć chodzić i daje psi. To może być

    męczący! Apply Easy Porady z tym Kontakt i będziesz wygląd znacznie bardziej odnowione szybko.

  14. It’s such as you understand my thoughts! You seem to realize a lot around that, such as you composed the actual e-book in it something like that. I do believe which can be done by Per cent to make the message residence a small amount, but instead of which, that’s amazing blog. An outstanding study. Let me definitely be back again.

  15. avatar Lucille napisał(a):

    Pretty nice post. I just stumbled upon your weblog

    and wanted to say that I have truly enjoyed browsing your blog posts.

    In any case I’ll be subscribing to your feed and I hope you write again very soon!

    Have a look at my site: pornhub.com (Lucille)

  16. avatar related webpage napisał(a):

    I think this is one of the most important info for me. And i am glad reading your article. But should remark on some general things, The site style is great, the articles is really nice : D. Good job, cheers|

  17. avatar Fallon napisał(a):

    Attractive component of content. I just stumbled upon your site and in accession capital to assert that I acquire

    actually loved account your blog posts. Anyway I’ll be

    subscribing to your feeds and even I achievement you get admission to

    consistently quickly.

  18. avatar smarphone napisał(a):

    Were a group of volunteers as well as starting a different structure in your area. Your website provided us beneficial facts to figure with. You might have completed an outstanding endeavor and also each of our overall neighborhood might be pleased for you.

  19. Oh, you might want to check out this new deal site. They are pretty good I buy stuff there now, the customer service is better than some of those other deal sites. So far anyway…. The stuff is really cheap but it’s pretty good quality for the price. They have fitness stuff, beauty products, protein and supplements. I think thats what the name means. Something about Exercise and Wellbeing.

  20. avatar springston napisał(a):

    The majority of these various versions (and considerably of the software that runs on them) can be acquired completely free, makings UNIX holding less costly for a host compared to various other running devices and permits them to provide reduced prices. UNIX organizing systems are usually thought about to be steady, safe and secure, powerful and quick. Most web programs applications can be done by software that is offered for a UNIX system. „UNIX holding” has actually become a generic term to refer to any sort of system that is derived from the initial UNIX.

  21. avatar internet page napisał(a):

    Interesting stuff . Will it be ok to post this webpage and tell friends on Grow Your Business Club ?

  22. avatar omar napisał(a):

    Hi Carol,
    Question is where can I buy the Soginee hair products and Dr Robert Young’s Head Phirst conditioner
    and Phorevers shampoo?

  23. Right now it looks like Movable Type is the preferred blogging platform out there right
    now. (from what I’ve read) Is that what you are using on
    your blog?

  24. avatar buy laptop online napisał(a):

    Hi, simply just discover a person’s web site into Yahoo, determined that it is really educational. Now i’m about to look for the city. I will take pleasure in should you progress that in future. Quite a few consumers will probably be had good results out of your creating. Many thanks!

    • avatar Summer napisał(a):

      roxxdiaz di#:isaiae&s8230;top 100 IGN? prevejo chutes aos jrpgs… mas enfim, é chrono trigger e mais 99…ah e meu grande amor breath of fire 4 também baixando

  25. Thanks a lot considerably pertaining to expressing this operating men and women you will recognize what you are talking about! Saved. Be sure to furthermore check with the web-site Implies). Natural meats employ a url trade design between all of us

  26. I must thank you for the efforts you have put in
    penning this website. I’m hoping to check out the same high-grade content from you in the future as well.

    In truth, your creative writing abilities has motivated me to get my very own site now ;)

  27. Howdy! Quick question that’s completely off topic. Do you know how to make your site mobile friendly? My blog looks weird when browsing from my apple iphone. I’m trying to find a

    template or plugin that might be able to correct this problem.

    If you have any suggestions, please share.

    With thanks!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *