Internetowi złodzieje sięgają po coraz nowsze sposoby, byśmy zajrzeli do wiadomości i pobrali kolejnego konia trojańskiego. W mojej skrzynce znalazły się fałszywe faktury (zadziwiająco dobrze przechodzą przez systemy antyspamowe), powiadomienia o rejestracji w różnych serwisach, w tym BIK, a od niedawna przychodzą sfałszowane informacje o rzekomej przesyłce DHL zwróconej do adresata.
Pierwsze takie wiadomości (05 czerwca) były częściowo w języku niemieckim:

dhl-starsze

Ale złodzieje się uczą – dziś otrzymałem już nieco lepszą:
Fałszywka

Na służbową skrzynkę spływały także wiadomości z błędnie enkodowanym załącznikiem w treści
Fałszywka z załącznikiem inline

Oczywiście wszystkie linki w wiadomości wiodą prosto do archiwum ZIP…
pobieranie fałszywej faktury
…które to archiwum zawiera plik wykonywalny. Szybka analiza na świetnej stronie virustotal udowadnia, że jest to dropper znanego konia trojańskiego Emotet.
Analiza za pomocą virustotal
Ku mojemu zdziwieniu zaledwie kilka antywirusów zna ten kod, mimo to, że według Microsoftu kampanie z użyciem Emoteta trwały co najmniej od listopada 2014r.
W archiwum microsoftowego Technetu można znaleźć opracowanie ataków, w których używano tego konia trojańskiego – oto link do wpisu ze stycznia 2015r. Początkowo atak kierowano na rynek niemiecki, obecnie na celowniku są użytkownicy komputerów domowych w naszym kraju.

Pierwsze ataki z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Rozkład ataków z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Zachęcam wszystkich Czytelników do zachowania szczególnej ostrożności. W taki link nie wolno klikać, gdyż każdy z nich jest na swój sposób unikalny i złodzieje będą mogli wyśledzić adres e-mail i ocenić skuteczność kampanii phishingowej. Jednocześnie zbierają informacje na temat podatnych systemów – a takie informacje stanowią cenny kąsek.

Jaki będzie skutek działania złodziei?
Ukradzione hasła, kradzież danych, a przede wszystkim pieniędzy z kont bankowości elektronicznej.

Nie klikaj – nie daj się złowić.