Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Państwa firma została objęta obowiązkiem sprawozdawczym…” – uwaga na maile podszywające się pod GUS. W załączniku malware.
Od jednego z czytelników otrzymaliśmy próbkę wiadomości wysłanej z adresu GUS-Portal@info.stat.gov.pl oraz zatytułowanej:
Obowiązek sprawozdawczy P-01
W środku – całkiem poprawnie zredagowana treść:
Co mamy w załączniku? Elektroniczny formularz zgłoszenia.rar po rozpakowaniu którego otrzymujemy: Elektroniczny formularz zgłoszenia.exe
Obecnie plik ten rozpoznawany jest przez 21 silników antywirusowych (nie tak źle):
Na koniec – w jaki sposób udało się podszyć pod adres GUS-Portal@info.stat.gov.pl ? W zasadzie nie udało się – jeśli Twój system pocztowy sprawdza SPF, to zapewne zauważy że e-mail został wysłany z adresu, który nie został wskazany tutaj:
$ dig TXT info.stat.gov.pl|grep spf
info.stat.gov.pl. 3559 IN TXT „v=spf1 ip4:194.165.48.72 ip4:194.165.48.73 ip4:194.165.48.100 -all”
Taki mail powinien być automatycznie umieszczony w kwarantannie / spamie / usunięty.
~ms
Czy ktos w 2023 nie uzywa SPF/DKIM/DMARC i TLS na SMTP?
No właśnie niewiele podmiotów ma skonfigurowane rekordy DKIM. Dlaczego?
Bo nowe modne „devopsy” się tak samo (mało) znają na mailu jak stare niemodne „adminy”.
Jest -all wiec taki mail powinien zostac odrzucony przez serwer
Jeśli serwer (pocztowy) odbiorcy w ogóle to sprawdza ;-)
czy ma na to wpływ ustawienie klienta pocztowego aby połączenie było szyfrowane SSL/TLS? czy to kwestia konfiguracji u dostawcy poczty? otrzymałem ten email z GUS i szukam sposobu żeby w przyszłości ograniczyć takie incydenty
W OVH mają to domyślnie wyłączone 😱
A jak ma być domyślnie włączony, skoro najpierw trzeba go odpowiednio skonfigurować?
Jak kupujesz hosting od OVH, to masz ad hock usługę E-mail. Więc powinni wiedzieć jak mają swoją usługę – domyślnie – skonfigurować.
Co zrobić jeśli jednak antywirus nie rozpoznał?
Jak usunąć jeśli już program został uruchomiony?
Zatrzymanie procesów aplikacji i usunięcie z dysku wystarczy?
Pozmieniaj hasła bo w załączniku siedział GuLoader, który pobierał Agenta Teslę lub inne świństwo wykradające między innymi:
– zapisane hasła z przeglądrek,
– autofille,
– zapisane karty kredytowe
– ip i informacje o systemie
W moim przypadku…
Pierwsza lampka – załącznik.
Druga lampka – RAR. :)
Trzecia lampka – godzina wysłania: 23:46 w niedzielę. :)
Delete.
Ale co zrobić jeśli już został uruchomiony?
Pomimo informacji, że Norton wykrywa, do wykrycia zagrożenia nia doszło, skanowanie też niczego nie znajduje.
Wykonaj pełne skanowanie RogueKillerem, Malwarebytes.
Możesz podrzucić logi FRST na forach dobreprogramy/elektroda/forumpc. :)
Dzięki – da znać.
Czysto.