Pokud Vám dorazilo e-mailem něco na způsob tohoto (tj. DOC dokument v příloze + text o tom, že jde o fakturu), pak zbystřete!

Screenshot from 2015-08-05 17:30:24

Text e-mailu je pochopitelně různorodý, ale na rozdíl od řady dalších útoků bez chyb a občas i věrohodný. No a pokud vás ještě někdo osloví „starosto“, no kdo by příloze odolal 🙂

Pouze otevření toho dokumentu v Microsoft Word ještě neznamená problém. Horší to je, pokud uživatel postupně odsouhlasí všechna varování Wordu (že dokument nemusí být bezpečný, obsahuje přílohu, …). Potom se dostanou ke slovu makra (tipuji, že první makro AutoOpen), která se sestaví z přílohy (base64 encoded – mso soubor), kterou si dokument uvnitř sebe nese. Pak následuje stažení další havěti do PC. Tento problémový dokument tak plní roli downloaderu.

Doplněno: havěť zneužívá služby pastebin.com, kde je umístěna část Visual Basic skriptu s dalšími instrukcemi (obsah je lehce zakryptován). Díky nim je i následně stažena havěť Win32/Dridex, což je klasický bankovní trojan, snažící se tunelovat bankovní účty obětí…


8 komentářů » for Poštou se šíří zavirovaný dokument – faktura
  1. michal napsal:

    tak hlásím že tohle už mi ráno dvakrát dorazilo…. na ……@seznam.cz …. ani dva antiviry to neodfiltrovaly a bejt ten starosta tak to snad i otevřu 🙂

  2. Vlastimil napsal:

    Zdravím, na školu to dorazilo jako Zadávací dokumentace s textem
    Dobrý den, pane starosto zasílám zadávací dokumentaci. S pozdravem a cizí jméno (jako podpis)

  3. Stepan napsal:

    Dobry den,
    shodou okolnosti jsem starosta (velmi male obce) a prilohu automaticky otevrel – nemam word, ale LibreOffice – nic me nevarovalo – videl jsem, ze je to nesmysl a opet zavrel. Pocitac ted pracuje velmi pomalu. AVG i Avast (free verze) tam najdou Trojskeho kone, ale nejsou schopni ho odstranit. Znate nekdo nejake reseni. Diky moc.
    Stepan Hon
    (obec Lisky)

    • Jan Čech napsal:

      Co dodat? Eset!
      Minimálně alespoň:
      http://www.eset.com/cz/domacnosti/produkty/online-scanner

      A mám takový pocit, že free verze není pro komerční účely.

    • igi napsal:

      Myslím si, že je to souhra náhod, neboť mám za to, že LibreOffice není schopen tento formát otevřít. Resp. tu hrůzu, která v tom doc souboru je. Pokud se zobrazil jeho obsah na několik stránek, pak to asi opravdu tak bude.

      • Jan Novák napsal:

        Přinutit libre office (nebo open office) aby otevřely dokument s funkčními makry je docela fuška. Normálně se makra sice načtou, ale jsou jako komentáře a ani odkomentování nepomůže, nefungujou.
        Další level je tedy procházení nastavení, kde se musí zaškrtnou importovat makra jako spustitelná (odsouhlasit příslušné varování), a teprve tehdy jsou tam dostupná (vypadají jinak než v předchozím případě) a dají se i spustit, ale obvykle nefungujou (ta emulace vba neni úplně kompatibilní, takže to končívá chybama).
        Ale jak se řiká, jedinej spolehlivej zákon je zákon schválnosti.

        Já se už léta divim, že hned po prvním zneužití maker k nějakým takovým účelům se nezavedly určité úrovně instrukcí. Je jasné, že makro, které barví text načerveno (dosaďte s i jakoukoliv jinou akci uvnitř wordu) asi nebude nebezpečné jako makro, které se hrabe na disku nebo v počítači, nebo makro, které si importuje funkce z DLL nebo activeX (kde může být naprosto cokoliv). Prostě dlouhá léta to funguje systémem všechno nebo nic. I jednoduché makro musím odsouhlasovat jako potenciálně nebezpečné, nebo povolit makra trvale (ani neni možnost povolit třeba makra ve vyjmenovaných souborech).

  4. Petr Hanč napsal:

    Zkuste ty antiviry spustit v nouzovém režimu Windows (po spuštění PC mačkejte F8, u Windows 8 dejte ze spuštěných Windows restart do nouzového režimu). Pokud by to nepomohlo, požádejte o pomoc někoho, kdo má s odstraňováním havěti zkušenosti.

  5. nik napsal:

    A mě právě dorazilo něco podobného. Mail obsahoval přílohu ,,copy_invoice_26838326.zip“. Soubor obsahuje javascript s nečitelným kódem, který stahuje exe soubory z webu a vytváří zároveň xml a nějaká makra. Zřejmě se jedná o prevíta co zašifruje data na disku a síti. Tak si dávejte pozor 🙂

    ___________________________________________________
    Dear Customer,

    Reference nr. 26838326-9005

    Our internal records show that you have an outstanding balance dating on your account. Previous invoice was for $862.86 and have yet to receive your payment.
    You can find the copy of the invoice enclosed to this letter.

    In case if you have already transferred the payment you can disregards this payment notice. In all other case, please be so kind and forward us the amount stated in full until the end of the month.
    As our agreement indicates, all outstanding balances after 30 days are subject to the 7% interest fee.

    Thank you in advance for your cooperation.

    Sincerely,
    Rudy Ford

    Junior Accountant
    DataCorp Inc.
    4851 Sugar Camp Road
    Owatonna, MN 55060

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..