Najnowsza kampania e-mailowych oszustów „Paczka czeka”

16 Paź

Najnowsza kampania e-mailowych oszustów „Paczka czeka”

Oszuści, których działania opisujemy od kilku dni, nie próżnują. Po kampaniach podszywających się pod ZUS i firmę KRUK przyszedł teraz czas na firmę InPost. Wiadomość jest prymitywna, ale niestety jak zwykle ofiar ataku nie brakuje.

Przestępcy od środy testują różne metody doręczania złośliwych plików. Zaczynali od exploitów w plikach RTF na darmowych hostingach (nie udało się), potem przeszli do złośliwych plików serwowanych bezpośrednio z darmowych hostingów (średnio się udało, bo hosting usunął plik po kilku godzinach), a dzisiaj zdecydowali się na własny hosting.

Wiadomość „Paczka czeka”

Złośliwa wiadomość wygląda następująco:

Cała jej treść to jeden obrazek pobierany z adresu:

<br /><br /><br />
https://i.imgur.com/3nEmUwT.png

1	https://i.imgur.com/3nEmUwT.png

a kliknięcie w niego prowadzi do adresu:

<br /><br /><br />
https://paczkomat24.info/andd33.html

1	https://paczkomat24.info/andd33.html

Tam użytkownik przekierowywany jest do adresu:

<br /><br /><br />
https://paczkomat24.info/index.php

1	https://paczkomat24.info/index.php

skąd automatycznie pobierany jest złośliwy plik EXE:

<br /><br /><br />
InPost.exe<br /><br /><br />
SHA1: 5011a71b00bd4840e402cb6a27aeb52743c8c677<br /><br /><br />
VT: https://www.virustotal.com/#/file/f42a0fff1df54cfa556308b72c6632156af16d4d46e2820bf47efa01304b6743/details

InPost.exe

SHA1: 5011a71b00bd4840e402cb6a27aeb52743c8c677

VT: https://www.virustotal.com/#/file/f42a0fff1df54cfa556308b72c6632156af16d4d46e2820bf47efa01304b6743/details

W pliku znajduje się ten sam koń trojański co w środę czy czwartek, czyli Kronos.

źródło: zaufanastronatrzecia.pl

Tags:

email,exploit,podszywanie

Najnowsza kampania e-mailowych oszustów „Paczka czeka”