Uwaga na sprytny atak z RODO i Acrobat Readerem w tle

Na adresy polskich firm rozsyłana jest ciekawa wiadomość z fakturą. W e-mailu brak załącznika, bo — jak informuje nadawca — ze względu na RODO faktura została przesłana w linku. Link w istocie jest, ale nie prowadzi do faktury, ale do sprytnego ataku…

RODO jako zarzutka

Znamy wiele kretynizmów, które tłumaczono za pomocą RODO. Niektórzy niestety wierzą i robią wszystko co im się powie, jeśli na końcu doda się “bo RODO”. RODO niektórym wyłącza myślenie. Dlatego obawiamy się, że na ten numer sporo firm może się dać nabrać. A atak jest ciekawy…

Wszystko zaczyna się od e-maila, w którym poza wspomnieniem RODO nie ma niczego specjalnego:

Witam,
przesyłam faktura VAT nr. 32/2018. Ze względu na przepisy RODO fakturę przesyłam w linku.

http://multico.5v[.] pl/faktury/f-ra_32-2018.pdf

—
Z poważaniem / Regards

Marta Wesołowska

Multicco Sp. z o.o. Sp. K.
Słoneczna 23
02-653 Warszawa
tel.: 795-795-140

Ale zabawa zaczyna się po kliknięciu w link. Oczom ofiary ukaże się taka piękna strona internetowa imitująca program Acrobat Reader:

Po kliknięciu na przycisk “Pobierz wtyczkę” ofiara kierowana jest pod adres:

http://adobe.5v[.] pl/AdobeUpdate.exe

Program nie jest jednak “wtyczką do Acrobat Readera” a trojanem/RAT-em, póki co rozpoznawanym tylko przez 6 antywirusów. Po starcie, w złośliwy sposób modyfikuje rejestr Windowsa i łączy się z hostem:

ola100.hopto.org 51.254.56.13

Ostrzeż księgową

Oceniamy, że połączenie tak sprytnej argumentacji i “udawania Acrobat Readera” zbierze niemałe żniwo. Dlatego sugerujemy Wam przesłać linka do tego posta znajomym księgowym, właścicielom firm i innym pracownikom, którzy obsługują skrzynki typu “biuro” i “kontakt”.

A skoro jesteśmy już przy księgowych, to warto je też odesłać do naszego wcześniejszego artykułu pt. “6 rad jak bezpiecznie wykonywać firmowe przelewy“.

Kontynuacja wcześniejszego ataku?

Co ciekawe, o ile ta kampania rozpoczęła się dziś o 12:00, to dzięki uprzejmości Cisco Polska i ich narzędziom analitycznym, mamy informację, że Polacy domenę adobe.5v[.] pl (czyli tę, na której hostowany jest malware) rozwiązywali już w czwartek, 11 października.

Istnieje więc spora szansa, że w zeszłym tygodniu po sieci krążyły inne e-maile odsyłające do “aktualizacji Acrobat Readera“. Może ktoś z czytelników je ma w swojej skrzynce? Z chęcią na nie rzucimy okiem — podsyłajcie po spakowaniu na hasło “virus” 🙂

IOC dla tej kampanii

Dropper:
MD5 5e1a8f636289ff11326a2d091a54c8f3
SHA-1 514be685433419d2b91f18bbfee06cce3aecfe27

Dystrybucja:
multico.5v.pl is an alias for host1.5v.pl.
host1.5v.pl has address 94.130.231.244
adobe.5v.pl is an alias for host1.5v.pl.
host1.5v.pl has address 94.130.231.244

C&C:
ola100.hopto.org 51.254.56.13