Ciekawy atak na potwierdzenie przelewu z mBanku i odwołanie do RODO

[Grandalf]

Myśleliśmy, że po aresztowaniu Armaged0na liczba ataków skierowanych w Polaków spadnie. Okazuje się jednak, że ktoś godnie Tomka zastępuje. Oto ciekawa próba ataku, jaką tuż przed weekendem zostali potraktowani Polacy.

Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu
Ofiary otrzymały e-maila o takiej treści:

From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu

Drogi Użytkowniku.
Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu, z potwierdzeniem E-mail na odbiorcę.

Tytułem : NR 0013210/18 – Przelew Krajowy.
Typ : Z potwierdzeniem email na odbiorcę.

W związku ze zrealizowaniem zlecenia, wydane zostało certyfikowane potwierdzenie przelewu.
*Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.
Zobacz potwierdzenie.

Potwierdzenie dostępne również w załączeniu (.pdf)
Więcej informacji na temat szczegółów przelewu uzyskasz w swoim “Certyfikowanym potwierdzeniu przelewu”.
Więcej informacji na temat “Certyfikowanego potwierdzenia przelewu” możesz znaleźć na stronie

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Pozdrawiamy
Zespół Mbank.

Wiadomość wygenerowana automatycznie przez system Mbank24.pl. Nie odpowiadaj na te wiadomość. W celu uzyskania informacji prosimy o wysłanie nowego emaila pod adres :kontakt@mbank24.pl

A oto dodatkowe nagłówki e-maila:

Return-Path: mbank24@zoho.eu
Received: from [213.152.161.249] by mail.zoho.eu with HTTP;Fri, 15 Jun 2018 23:05:40 +0200 (CEST)
From: Mbank Polska mbank24@zoho.eu
To: info info@bmank-24.com
Subject: Informujemy, iż w systemie mbank24 zarejestrowane zostało zlecenie przelewu
X-Priority: Medium
User-Agent: Zoho Mail
X-Mailer: Zoho Mail
X-Zoho-Virus-Status: 1

Link do potwierdzenia kierował pod adres:

xxxx://wrzucacz[.]pl/download/1211529084686

i automatycznie pobierał na komputer ofiary złośliwe oprogramowanie. Ten sam link znajdował się także w załączonym PDF-ie, który wyglądał tak:

Zainfekuj się, bo RODO!

Szczególnie ubawiło nas to zdanie z e-maila:

Potwierdzenie przelewu zgodne z nową ustawą “RODO”, możliwe do otworzenia tylko na komputerach z systemem Microsoft Windows.

Choć treść e-maila jest całkiem składa, to ten numer o RODO powinien dać do myślenia, podobnie jak i użycie niepoprawnych domen oraz “wrzucacza” do propagacji złośliwego oprogramowania. Nie wątpimy jednak, że kilka osób kliknęło i się zainfekowało…

Atak ukierunkowany czy nieudany?

Ostrzeżenia przed tym e-mailem nie znajdziecie jeszcze w zakładce

Zaloguj lub Zarejestruj się aby zobaczyć!

, co może oznaczać, że ataki były bardzo wąskie. Nam ten malspam zgłosiła tylko 1 osoba. Dlatego, jeśli ktoś z Was też otrzymał tę wiadomość i znajdował się w niej inny URL lub udało mu się pobrać droppera, prosimy o

Zaloguj lub Zarejestruj się aby zobaczyć!

.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!