Přichází Diova dcera Áté, aneb jak tzv. pohledávkový SPAM zasáhl Česko

Celé spamové kampani, která vykazuje značný amatérismus, je od počátku věnována značná mediální pozornost, pojďme se proto podívat, k čemu skutečně došlo.

Na velké množství adres byl rozeslán e-mail, který příjemce e-mailu upozorňoval na nutnost co nejdříve uhradit dlužnou částku, aby se vyhnul možným sankcím a případnému soudnímu řízení. Vlastní e-mail s předmětem „Výše pohledávky na vašem účtu #ACCNUMBER“ pak vypadal nějak takto:

Vážený zákazníku,

Jsme velmi rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k DD.MM.2014 dlužné částky na osobní účet ve vysi #ACCNUMBER XXXX.XX Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do DD.MM.2014. Dobrovolné uhrazeni pohledávky a dodrženi smlouvy #NUMBER umožňuje Vám:

1) Dodržet pozitivní úvěrovou historii
2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů.

V případě prodlení uhrady pohledávky XXXX.XX Kč v souladu s platnými právními předpisy, jsme oprávněni zahájit právní sankci na základe pohledávky. Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor „smlouva_NUMBER.zip“

S pozdravem,

Vedoucí odboru vymahani pohledávek
Jméno Příjmení
+420 NNN NNN NNN

Legenda:

  • #ACCNUMBER je nějaké náhodně vygenerované číslo účtu
  • DD.MM je náhodně vygenerovaný datum
  • XXXX.XX je nějaké náhodně vygenerované číslo
  • NUMBER je nějaké číslo v hexadecimálním tvaru
  • +420 NNN NNN NNN je nějaké telefonní číslo, na které se dá dovolat

E-mail jako přílohu obsahoval komprimovaný archiv s názvem smlouva_NUMBER.zip, jenž obsahoval exe soubor s názvem smlouva_DD.MM.2013-signed_NUMBER.exe o velikosti 59 339 bytů.

Pokud jde o formu mailu, tak ta byla naprosto tragická. Nelze si nevšimnout, že e-mail byl odeslán z pochybné adresy a útočník se to nesnažil ani nijak skrývat, nebylo použito oslovení klienta jménem (když mi píše banka, tak přeci ví, jak se jmenuji), byla použita naprosto špatná čeština (oproti předchozí vlně je to podstatné zhoršení), a konečně nebylo uvedeno ani jméno finanční instituce, která klienta jako kontaktuje.

Je otázka, proč e-mail obsahuje chyby, které by v něm vůbec nemusely být. Kdyby totiž útočník použil nějaký automatický překladač, tak by text obsahoval háčky a čárky všude, ale v tomto případě někde jsou a někde nikoliv. Zvláštní je, že slovo „výši“ je napsané pokaždé jinak. Zarážející je rovněž doplnění čárek nad e a nad a ve slovech „vyuziváli“ a „Dovolujéme“. To vypadá, jako kdyby text mailu upravoval občan polské národnosti, neboť je přízvuk kladen na předposlední slabiku.

Útočník se ani nesnažil nijak zastírat, že se jedná o .exe soubor. Nebyla zdvojena přípona (obvykle se před příponu napíše ještě jedna naprosto nevinná jako např. pdf, jpg, doc) V názvu nebylo použito velké množství mezer k oddělení falešné a skutečné přípony. Nebyla změněna ikona exe souboru za ikonu nějaké známé aplikace jako je MS Word, Acrobat Reader, a v neposlední řadě nebyl archiv šifrován (obvykle se heslo uvádí přímo do e-mailu.)

Uživatel tedy moc dobře věděl, že kliká na ikonu nějaké aplikace. V okamžiku, kdy na ní kliknul, tak došlo k otevření Wordpadu a v něm byl zobrazen naprosto neškodný rtf soubor (uložen v adresáři /Users/%USERNAME%/AppData/Local/Temp).

Na pozadí se však aplikace bez vědomí uživatele připojila do internetu a začala stahovat z různých domén další soubory. Konkrétně se jednalo o soubor banner.png, který je však ve skutečnosti PE souborem (můžete ho dekomprimovat a dále zkoumat).

Aby si malware zajistil své spuštění i po restartu počítače, vytvořil si záznam v registru HKCU[%USERNAME%]\Software\Microsoft\Windows\CurrentVersion\Run, ve kterém je odkaz na soubor ate.exe, který se nachází ve složce ..\AppData\Brothel.

Zde je nutné ocenit autorův smysl pro humor, neboť v angličtině brothel znamená bordel. Ate pak není jen minulý čas od slovesa jíst, ale v latině se jedná … a teď pozor … o jméno dcery nejvyššího boha Dia! Ten, kdo se o problematiku crimeware a obzvlášť bankovního malware zajímá, tomu se jistě hned vybaví trojský kůň s názvem ZeuS.

Zároveň se ale musíme ptát, proč autor malwaru neumístil exe soubor do nějakého méně nápadného adresáře. Takhle lze malware velice snadno najít a odstranit. Nutno však podotknout, že z počátku této SPAM kampaně nebyl téměř žádný antivirus schopný tento malware detekovat, a proto bylo nakaženo poměrně dost počítačů. Odhadujeme, že více jak třetina příjemců tohoto pohledávkového SPAMU na přílohu klikla a nakazila se.

Je s podivem, jak vysoký počet příjemců přílohu otevřelo a spustilo, přestože e-mail vykazoval všechny příznaky SPAMu a nesnažil se to nijak maskovat. V podstatě se spoléhalo jen na lidskou zvědavost a obavu z nějaké neuhrazené pohledávky. V současné době by většina antivirů měla být schopna malware detekovat a odstranit.

Domníváme se, že cíl útočníka byl stejný jako v případě kampaně pod hlavičkou „České pošty“, tedy převod peněžních prostředků a jejich vyvedení z banky. Je zvláštní, že přes vysoký počet nakažených strojů zatím nebyla nikým hlášena žádná škoda. Zdá se, že jsme svědkem buď zcela zpackané akce, nebo jde jen o jakousi provokaci, jaká předcházela Eurograbberu, anebo je to všechno jinak.

Druhá vlna pohledávkového SPAMU

Dnes, to jest 13. 05. 2014 se objevila druhá vlna pohledávkového SPAMU. Oproti první vlně z dubna je zde patrné výrazné zlepšení pravopisu. Chyby, na které jsem upozorňoval, byly v textu mailu odstraněny, a tak už do očí nebije špatné použití čárek a háčků nebo jejich absence. Je třeba uznat, že byť je na několika místech použit špatný slovosled, skloňování a časování, tak už se jedná o celkem slušně napsaný text. Ostatně posoudit to můžete sami:

Vážený zákazníku,

Jsme velmi rádi, že jste využívali produktu z naší banky.
Dovolujeme si Vás upozornit na dlužnou částku ve výši XXXX.XX Kč,ke dni DD.MM.2014 na osobním účtě #ACCNUMBER . Nabízíme Vám uhradit pohledávku v plné výši do DD.MM.2014.

Dobrovolné uhrazení pohledávky a dodržení smlouvy #NUMBER umožňujeme Vám:
1) Dodržet pozitivní úvěrovou historii
2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů.

V případě prodlení úhrady pohledávky XXXX.XX Kč v souladu s platnými právními předpisy, jsme oprávněni zahájit právní sankci na základě pohledávky.

Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor „smlouva_NUMBER.zip“

S pozdravem,
Vedoucí odboru vymáhání pohledávek
Jméno Příjmení
+420 NNN NNN NNN

Třetí vlna pohledávkového SPAMU

Dnes, to jest 23. 06. 2014 se objevila třetí vlna pohledávkového SPAMU. Oproti druhé vlně z května je použit mírně odlišný text, a hlavně je zde pro vytvoření důvěryhodnosti tohoto sdělení citován i zákon. Je třeba uznat, že byť je na několika místech použit špatný slovosled, skloňování a časování, tak už se jedná o celkem slušně napsaný text. Ostatně posoudit to můžete sami:

Vážený zákazníku,

jsme Vám velice vděční, že využíváte produkty naší banky.

Dovolíme si ale Vás upozornit, že k DD.MM.2014 na svém osobním účtu mátenepovolený debet ve výši #ACCNUMBER XXXX.XX Kč.
Nabízíme vám dobrovolně uhradit vzniklou pohledávku v plné výši do DD.MM.2014.

Včasné uhrazeni pohledávky bude znamenat dodrženi smlouvy #NUMBER a umožni Vám:
1) Vyhnout se objevení negativního záznamu v registru dlužníků
2) Vyhnout se soudnímu sporu, a spojeným s takovým sporem nákladům.

V případě nevčasného splácení označené pohledávky XXXX.XX Kč dovolujme si upozornit na to, že podle znení smlouvy #NUMBER uvedená pohledávka se považuje za nově vznikly spotřebitelský úvěr a na základě Zákona č. 145/2010 o spotřebitelském úvěru a v souladu s jinými právními předpisy, jsme oprávněni zahájit soudní jednání.

Kopie smlouvy #NUMBER a podrobný výpočet vzniklé pohledávky jsou připojeny k tomuto dopisu jako příloha soubor „smlouva_NUMBER.zip“

S pozdravem,
Jméno Příjmení
Vedoucí odboru vymahani pohledávek
+420 NNN NNN NNN

Zajímavé je, že to co bylo napsáno ve druhé vlně správně, tak je zde napsáno zase špatně. Obzvlášť zarážející je i množství naprosto zbytečných chyb, které snad ani nemohly vzniknout strojovým překladem.

Čtvrtá vlna pohledávkového SPAMU

Dnes, to jest 30. 06. 2014, se objevila čtvrtá vlna pohledávkového SPAMU. Útočník se vrátil k textu, který byl použit ve druhé vlně v květnu, a jenž lze označit jako poměrně zdařilý. Že se jedná o novou vlnu, je patrné z toho, že byl změněn datum fiktivní pohledávky a termínu, do kdy má být uhrazena. Ostatní údaje jako adresa odesílatele jsou opět smyšlené.

Pátá vlna pohledávkového SPAMU

Dnes, tj. 15. 07. 2014 zasáhla Česko v pořadí již pátá vlna pohledávkového SPAMU. Scénář je pořád stejný, jen se zcela změnil obsah e-mailu, posuďte sami:

VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE

Soudní exekutor titul. PŘIJMENÍ, JMÉNO, Exekutorský úřad MĚSTO, IČ ČÍSLO, se sídlem ULICE ČÍSLO, PSČ MĚSTO
pověřený provedením exekuce: č.j. XX EXE XXX/2014 -XX, na základě ustanovení: Příkaz č.j. XXXXXX/2014-XXX/Čen/G V.vyř.,
vás ve smyslu §46 odst. 6 z. č. 120/2001 Sb. (exekuční řád) v platném znění vyzývá k splnění označených povinností, které ukládá exekuční titul, jakož i povinnosti uhradit náklady exekuce a odměnu soudního exekutora, stejně ták, jako zálohu na náklady exekuce a odměnu soudního exekutora:

Peněžitý nárok oprávněného včetně nákladu k dnešnímu dni: X XXX,00 Kč
Záloha na odměnu exekutora (peněžité plnění): X XXX,00 Kč včetně DPH 21%
Náklady exekuce paušálem: X XXX,00 Kč včetně DPH 21%

Pro splnění veškerých povinností je třeba uhradit na účet soudního exekutora (č.ú. ACCNUMBER/KÓD BANKY, variabilní symbol XXXXXXXX, ČSOB a.s.), ve lhůtě 15 dnů od
doručení této výzvy XX XXX,00 Kč

Nebude-li uvedená částka uhrazena ve lhůtě 15 dnů od doručení této výzvy, bude i provedena exekuce majetku a/nebo zablokován bankovní účet povinného ve smyslu § 44a odst. 1 EŘ a podle § 47 odst. 4 EŘ. Až do okamžiku vymožení povinnosti.

Příkaz k úhradě, vyrozumění o zahájení exekuce a vypučet povinnosti najdete v přiložených souborech.

Za správnost vyhotovení JMÉNO PŘIJMENÍ

Šestá vlna pohledávkového SPAMU

Dnes, tj. 25. 08. 2014 zasáhla Česko v pořadí již šestá vlna pohledávkového SPAMU.

Sedmá vlna pohledávkového SPAMU

Dne 24. 11. 2014 zasáhla Česko v pořadí již sedmá vlna pohledávkového SPAMU s textem, který je stejný jako v první vlně z dubna.

Přiložený soubor stejně jako v předchozích vlnách obsahuje škodlivý kód, který v počátku svého šíření není detekován žádným antivirem. Nejúspěšnější v jeho detekci jsou pak lokální hráči na trhu s antiviry.

Poznámka: V souvislosti s jednotlivými vlnami pohledávkového SPAMu je třeba zmínit i jednu podstatnou skutečnost, a to, že detekce tohoto bankovního malwaru je ze strany stále antivirových společností stále náročnější neboť malware je stále sofistikovanější, v posledních verzích i kontroluje, v jakém prostředí je spouštěn, nevolá externí js, a kód, který do stránek internetového bankovnictví vkládá, je silně obfuskovaný a pro každého klienta jedinečný.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Přichází Diova dcera Áté, aneb jak tzv. pohledávkový SPAM zasáhl Česko” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: