Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky
V průběhu dnešního dne se Českem prohnala další vlna SPAMu s přílohou obsahující dropper, který z internetu dotahuje nám již známý bankovní malware Tinba.
Tentokrát útočníci rozeslali e-mail, který se tvářil jako potvrzení o přijetí objednávky z e-shopu obchody24.cz, přičemž potvrzení o zaplacení platební kartou a vystavenou fakturu měl příjemce e-mailu najít v příloze daného e-mailu.
Opět bylo použito technik sociálního inženýrství a skutečnosti, že spousta lidí čeká s nákupem zboží na povánoční slevy a výprodeje, a nakupuje přes internet, takže potvrzení o objednávce z e-shopu očekává.
Netřeba snad dodávat, že e-mail obsahoval spustitelný soubor, který pokud byl spuštěn, tak stáhnul z internetu další škodlivý kód, jenž si své spuštění zajistil zápisem do registrů Windows. Jedná se tak o další pokus, jak dostat na počítač uživatele bankovní malware Tinba.
E-mail s přílohou .zip se tváří, jako že je od e-shopu obchody24.cz, nicméně jako odesílatel byl uveden někdo úplně jiný, a stejně tak i čas údajné objednávky generovaný nějakým skriptem byl mnohdy zcela nesmyslný. Samotný e-mail však byl napsán slušnou češtinou a dával smysl.
Opět se našlo dost těch, kteří soubor otevřeli. Možná, i proto, že e-mail mohl v mnoha uživatelích vyvolat obavu, že někdo zneužil jejich kartu k platbě za zboží a chce se jen přesvědčit, že tomu tak není.
V zazipovaném archivu v příloze e-mailu se nachází, scr soubor o velikosti 71.168 bajtů s ikonou Kč. Po kliknutí se otevře WinWord a v něm se zobrazí soubor stejného názvu jen s příponou rtf o velikosti 14.648 bajtů. Obsah souboru můžete shlédnout zde. Malware opět až několik minut čeká, než se pokusí z internetu stáhnout bankovní malware Tinba.
Ten se pod názvem spcommon.exe uhnízdí v adresáři C:\Documents and Settings\User\Application Data\SpeechEngines a své spuštění si zajistí zápisem do klíče Run v registrech. Po spuštění a přihlášení uživatele do internetového bankovnictví dojde k vyhodnocení, zda již uživatel nebyl Tinbou nakažen.
Pokud ne, tak kromě odchycení přihlašovacích údajů klienta do internetového bankovnictví dojde i k injektáži formuláře přímo do stránek, ve kterém je klient vyzván k zadání telefonního čísla a verze operačního systému telefonu, na který mu chodí potvrzovací SMS od banky. Pokud již byl nakažen, tak je tento krok přeskočen a klient je vyzván k instalaci aplikace Trust Mobile Security.
Pokud však klient nepoužívá telefon s operačním systémem Google Android, výzva ke stažení aplikace se mu již nezobrazí, protože pro ostatní platformy není tato aplikace k dispozici. V ohrožení jsou tak nadále především uživatelé používající operační systém Microsoft Windows a telefon s Google Android.
Poznámka: Toto je živý příspěvek a může být průběžně aktualizován.
Štítky: bankovní malware, phishing
K článku “Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Dle mého názoru nejlépe napsaný článek o tomto problému. Jasně, srozumitelně a komplexně. Díky tomu jsem našel i Váš velmi zajímavý web. Děkuji za rozbor a těším se na další podobné články.