Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky

bankovni-malwareV průběhu dnešního dne se Českem prohnala další vlna SPAMu s přílohou obsahující dropper, který z internetu dotahuje nám již známý bankovní malware Tinba.

Tentokrát útočníci rozeslali e-mail, který se tvářil jako potvrzení o přijetí objednávky z e-shopu obchody24.cz, přičemž potvrzení o zaplacení platební kartou a vystavenou fakturu měl příjemce e-mailu najít v příloze daného e-mailu.

Opět bylo použito technik sociálního inženýrství a skutečnosti, že spousta lidí čeká s nákupem zboží na povánoční slevy a výprodeje, a nakupuje přes internet, takže potvrzení o objednávce z e-shopu očekává.

Netřeba snad dodávat, že e-mail obsahoval spustitelný soubor, který pokud byl spuštěn, tak stáhnul z internetu další škodlivý kód, jenž si své spuštění zajistil zápisem do registrů Windows. Jedná se tak o další pokus, jak dostat na počítač uživatele bankovní malware Tinba.

E-mail s přílohou .zip se tváří, jako že je od e-shopu obchody24.cz, nicméně jako odesílatel byl uveden někdo úplně jiný, a stejně tak i čas údajné objednávky generovaný nějakým skriptem byl mnohdy zcela nesmyslný. Samotný e-mail však byl napsán slušnou češtinou a dával smysl.

Opět se našlo dost těch, kteří soubor otevřeli. Možná, i proto, že e-mail mohl v mnoha uživatelích vyvolat obavu, že někdo zneužil jejich kartu k platbě za zboží a chce se jen přesvědčit, že tomu tak není.

V zazipovaném archivu v příloze e-mailu se nachází, scr soubor o velikosti 71.168 bajtů s ikonou Kč. Po kliknutí se otevře WinWord a v něm se zobrazí soubor stejného názvu jen s příponou rtf o velikosti 14.648 bajtů. Obsah souboru můžete shlédnout zde. Malware opět až několik minut čeká, než se pokusí z internetu stáhnout bankovní malware Tinba.

Ten se pod názvem spcommon.exe uhnízdí v adresáři C:\Documents and Settings\User\Application Data\SpeechEngines a své spuštění si zajistí zápisem do klíče Run v registrech. Po spuštění a přihlášení uživatele do internetového bankovnictví dojde k vyhodnocení, zda již uživatel nebyl Tinbou nakažen.

Pokud ne, tak kromě odchycení přihlašovacích údajů klienta do internetového bankovnictví dojde i k injektáži formuláře přímo do stránek, ve kterém je klient vyzván k zadání telefonního čísla a verze operačního systému telefonu, na který mu chodí potvrzovací SMS od banky. Pokud již byl nakažen, tak je tento krok přeskočen a klient je vyzván k instalaci aplikace Trust Mobile Security.

Pokud však klient nepoužívá telefon s operačním systémem Google Android, výzva ke stažení aplikace se mu již nezobrazí, protože pro ostatní platformy není tato aplikace k dispozici. V ohrožení jsou tak nadále především uživatelé používající operační systém Microsoft Windows a telefon s Google Android.

Poznámka: Toto je živý příspěvek a může být průběžně aktualizován.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. Patcze

    Dle mého názoru nejlépe napsaný článek o tomto problému. Jasně, srozumitelně a komplexně. Díky tomu jsem našel i Váš velmi zajímavý web. Děkuji za rozbor a těším se na další podobné články.


K článku “Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: