- Dołączył
- 26 Maj 2015
- Posty
- 19243
- Reakcje/Polubienia
- 56077
źródło:Oszust wysyła emaile z rzekomymi fakturami z tego samego adresu IP łączącego się z serwerem pocztowym dwóch różnych podmiotów. Próbuje podszyć się pod spółkę ubezpieczeniową STU ERGO Hestia SA oraz biuro rachunkowe „Tomfis”:
W jednym z załączników FV_2045.zip znajduje się plik FV_2045.vbs podszywający się pod fakturę w bardzo prymitywny sposób. Jego uruchomienie wyzwala systemowy proces wscript.exe służący do uruchamiania plików skryptowych — łączy się z adresem TCP/198.12.113.17, ale nie pobiera żadnej dodatkowej zawartości. Jest to więc nieudana próba stworzenia downloadera (co mało prawdopodobne) lub rozpoznanie ofiar przed większą kampanią i dlatego zalecamy ostrożność przy otwieraniu tego typu podejrzanych faktur oraz zainstalowanie renomowanego oprogramowania antywirusowego.
Załącznika z drugiej wiadomości nie udało nam się sprawdzić, ponieważ plik został zablokowany na poziomie dostawcy serwera pocztowego przez skanowanie antywirusowe, więc do odbiorcy dotarła zabezpieczona zawartość.
Wiadomość podszywająca się pod biuro rachunkowe wysyłana jest z serwera nazwy.pl:
Wiadomość podszywająca się pod STU Ergo Hestia wysyłana jest z serwera:
Spamer łączy się z powyższymi serwerami pocztowymi z adresu:
Hash załącznika FV_2045.zip po wypakowaniu (załącznik z drugiej wiadomości został zablokowany przez anty-spam zintegrowany z serwerem poczty):
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Ostatnia edycja:
