Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky

bankovni-malwareV průběhu dnešního dne se Českem prohnala další vlna SPAMu s přílohou obsahující dropper, který z internetu dotahuje nám již známý bankovní malware Tinba.

Tentokrát útočníci rozeslali e-mail, který se tvářil jako potvrzení o přijetí objednávky z e-shopu obchody24.cz, přičemž potvrzení o zaplacení platební kartou a vystavenou fakturu měl příjemce e-mailu najít v příloze daného e-mailu.

Opět bylo použito technik sociálního inženýrství a skutečnosti, že spousta lidí čeká s nákupem zboží na povánoční slevy a výprodeje, a nakupuje přes internet, takže potvrzení o objednávce z e-shopu očekává.

Netřeba snad dodávat, že e-mail obsahoval spustitelný soubor, který pokud byl spuštěn, tak stáhnul z internetu další škodlivý kód, jenž si své spuštění zajistil zápisem do registrů Windows. Jedná se tak o další pokus, jak dostat na počítač uživatele bankovní malware Tinba.

E-mail s přílohou .zip se tváří, jako že je od e-shopu obchody24.cz, nicméně jako odesílatel byl uveden někdo úplně jiný, a stejně tak i čas údajné objednávky generovaný nějakým skriptem byl mnohdy zcela nesmyslný. Samotný e-mail však byl napsán slušnou češtinou a dával smysl.

Opět se našlo dost těch, kteří soubor otevřeli. Možná, i proto, že e-mail mohl v mnoha uživatelích vyvolat obavu, že někdo zneužil jejich kartu k platbě za zboží a chce se jen přesvědčit, že tomu tak není.

V zazipovaném archivu v příloze e-mailu se nachází, scr soubor o velikosti 71.168 bajtů s ikonou Kč. Po kliknutí se otevře WinWord a v něm se zobrazí soubor stejného názvu jen s příponou rtf o velikosti 14.648 bajtů. Obsah souboru můžete shlédnout zde. Malware opět až několik minut čeká, než se pokusí z internetu stáhnout bankovní malware Tinba.

Ten se pod názvem spcommon.exe uhnízdí v adresáři C:\Documents and Settings\User\Application Data\SpeechEngines a své spuštění si zajistí zápisem do klíče Run v registrech. Po spuštění a přihlášení uživatele do internetového bankovnictví dojde k vyhodnocení, zda již uživatel nebyl Tinbou nakažen.

Pokud ne, tak kromě odchycení přihlašovacích údajů klienta do internetového bankovnictví dojde i k injektáži formuláře přímo do stránek, ve kterém je klient vyzván k zadání telefonního čísla a verze operačního systému telefonu, na který mu chodí potvrzovací SMS od banky. Pokud již byl nakažen, tak je tento krok přeskočen a klient je vyzván k instalaci aplikace Trust Mobile Security.

Pokud však klient nepoužívá telefon s operačním systémem Google Android, výzva ke stažení aplikace se mu již nezobrazí, protože pro ostatní platformy není tato aplikace k dispozici. V ohrožení jsou tak nadále především uživatelé používající operační systém Microsoft Windows a telefon s Google Android.

Poznámka: Toto je živý příspěvek a může být průběžně aktualizován.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: ,

  1. Patcze

    Dle mého názoru nejlépe napsaný článek o tomto problému. Jasně, srozumitelně a komplexně. Díky tomu jsem našel i Váš velmi zajímavý web. Děkuji za rozbor a těším se na další podobné články.


K článku “Českem se prohnala další vlna spamu tvářící se jako potvrzení objednávky” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: