Uważajcie na nowy phishing z informacją o przesyłce…

Nie ma tygodnia, by internauci nie byli narażeni na nowe ataki. Jednym z najbardziej rozpowszechnionych jest phishing. Atakujący podszywa się pod firmę/instytucję lub konkretną osobę i wysyła szkodliwy załącznik (czasami w postaci linku). Niestety obecnie trwa kolejna kampania, w której bardzo łatwo o zainfekowanie komputera.

Jak donosi serwis Zaufana Trzecia Strona[1], na skrzynki internautów trafiają szkodliwe maile o różnych tytułach i z różnymi nazwami plików, dlatego ciężko jednoznacznie określić jakiej wiadomości spodziewać się w skrzynce. Do tej pory tematy wiadomości brzmiały następująco:

•Twoja paczka nie zostala dostarczona
•Rachunek z tytulu przechowywania przesylki
•Twoja przesylka nie zostala dostarczona
•Paczka nie zostala dostarczona
•Odbiór akt zamówienia

Na końcu każdego tematu znajduje się 10 cyfr, które mają symbolizować numer przesyłki. Kolejnym wzorcem, który wykryli badacze Z3S jest adres nadawcy. Jest on zbudowany ze stałej wartości oraz pięciu cyfr (za każdym razem innych) – support_[5cyfr] w domenie O2. Poniżej znajdują się dwa przykłady takich wiadomości:

Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/
Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/
Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/
Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/

Tak jak zostało to napisane wcześniej, pozostałe elementy takie jak numer i data faktury, kwota do zapłaty, numer przesyłki – są różne w każdej przeanalizowanej wiadomości. Wszystkie linki prowadzą do Dropboxa, ale adresy różnią się od siebie.

Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/
Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/

Jednak mimo różnic w adresach pobieranego pliku, sam szkodnik jest taki sam w każdym przypadku. Jest to koń trojański Nymaim, który swego czasu był bardzo popularny (odkryty w 2013 roku, jednak największą aktywność odnotował w zeszłym roku). Dużo szczegółów technicznych na temat tego złośliwego oprogramowania przedstawił CERT na swojej stronie – zachęcam do lektury.

Aby bronić się przed atakami tego typu należy przede wszystkim edukować pracowników (szkolenia uświadamiające), ale również dbać o regularne aktualizowanie wszystkich aplikacji i systemu, zainstalować oprogramowanie zabezpieczające oraz regularnie wykonywać kopie zapasowe. Więcej na temat phishingu dowiecie się również z artykułów na blogu.

[1] https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-a-kazdy-z-innym-tematem-linkiem-i-plikiem/#comment-59085