Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zmasowany atak phishingowy na polskie firmy. Dostałeś takie zamówienie?
Nic tak nie cieszy handlowca jak zamówienie na produkty czy usługi, które sprzedaje. Niekiedy obsługuje on tyle „tematów”, że nawet nie pamięta o wszystkich. Na tym właśnie bazuje nowa kampania phishingowa, którą sygnalizuje CERT Polska.
Maile wysyłane są z różnych domen, różne też są osoby przesyłające „zamówienia”. Jak widać poniżej atakujący proszą nawet o dane bankowe – tj. na jakie konto mogą zapłacić…
Oczywiście nigdzie nie płacą, tylko po próbie otwarcia dokumentu, próbują zainfekować komputer ofiary:
CERT wspomina o użytym w finalnej infekcji agencie tesla – umożliwia on wykradanie haseł z z przeglądarek, klientów pocztowych – może mieć również dostęp do schowka ofiary.
–ms
Dlatego ja obsługując swój sklep internetowy w którym dostaje bardzo dużo zapytań od klientów w sprawie wyceny zamówień gdzie zawsze są jakieś załączniki często spakowane razem lub pdf’y przed rozpakowaniem na własnym komputerze skanuje je na VirusTotal plus dodatkowo skan antywirusem który mam na pokładzie windowsa.
Masz świadomość że pliki które wrzucasz na VirusTotal są dostępne zarówno dla tej firmy, jak i dla każdego kto wykupi tam subskrypcję? Masz zgodę każdego z klientów na dzielenie się ich danymi z trzecią stroną, tj. VirusTotalem?
Tak, wszystko jest zapisane w regulaminie dodatkowo użytkownik musi zaznaczyć odpowieni checkbox. Danych osobowych w tych plikach nie ma więc bez paniki są to głównie pliki graficzne lub informacje jak ma wyglądać zlecenie w postaci opisu.
Nie polecam tego robić z danymi osobowymi.. te wysyłane pliki są gromadzone. Jakiś czas temu były nawet dostępne publicznie (podobno nadal są dla zarejestrowanych badaczy).
O to ciekawe co robisz z danymi osobowymi i i innymi swoich potencjalnych klientów :-/
Chyba ze zasoby vt są twoje i robisz sobie tam backup zamowien ? Powiedz co to z sklep?
Skąd ta tendencja do pakowania w rar tych załączników?
Dlaczego RAR? Zapewne, by zminimalizować wykrycie załączonego zainfekowanego pliku na poziomie serwera pocztowego lub klienta.
Evasion automatic AV sandbox’s
„Oczywiście nigdzie nie płacą, tylko po próbie otwarcia dokumentu, próbują zainfekować komputer ofiary:”
Czy możecie być bardziej precyzyjni? Jest to eksploit na RAR czy w środku siedzi exe?
W środku dopiero.