AwarenessCase studyComputer Security Incidents Response TeamZagrożenia

Krajowy Rejestr Długów – uwaga na oszustów

Co jakiś czas w sieci pojawiają się sztormy malware’u. Po raz kolejny objawił się Troja Downloader, ale tym razem próbujący udawać KRD (Krajowy Rejestr Długów).

Witaj
Ta wiadomosc zostala wyslana do Ciebie automatycznie przez system raportowania Krajowego Rejestru Dlugow.
W dniu 30.05.2014 Twoja firma zostala wciagnieta na liste dluznikow KRD.
Szczegolowy Raport KRD w tej sprawie znajdziesz pod adresem: http://www.krd-raport.pl.tf
Z powazaniem System Windykacji Krajowego Rejestru Dlugow

Poniżej został zamieszczony fragment nagłówka SMTP:

Received: from [/usr/run/smtp] (HELO localhost)
by serwer1463523.home.pl [188.128.134.27] with SMTP (IdeaSmtpServer v0.80)
id xxxxxxxxxxxxxxxxxxx; Fri, 30 May 2014 23:13:00 +0200
Received: from [188.128.134.27] (helo=v112295.home.net.pl)
by xxxxxxxxxxxxxxx with smtp (Exim 4.69)
(envelope-from )
id xxxxxxxxxxxxx
for dyrektor@domena.pl; Fri, 30 May 2014 23:13:00 +0200
Return-Path:
Reply-To:
From: info@krd.pl
To:
Cc:
Subject: Twoja Firma zostala dodana do Krajowego Rejestru Dlugow
Date: Fri, 30 May 2014 23:13:00 +0200
Message-ID: <5388e685.da1e8.1baa7.66ec@v442.home.net.pl>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0035_01CF7E38.51581870"
X-Mailer: Microsoft Outlook 14.0

Z nagłówka wynika, iż nadawcą nie jest info@krd.pl
Wiadomość zawierała link http://www.krd-raport.pl.tf pobierający dokument w formacie MS Word o nazwie Krajowy Rejestr Dlugow – Raport z Dnia 30.05.2014.doc z serwera http://s1.directex.com zawierający TrojanDownloader:O97M/Bogavert.A zaklasyfikowany przez Microsoft Malware Protection Center jako:

This threat is classified as a trojan downloader.
A downloader trojan tries to download and install other malware or potentially unwanted software.
Some downloader trojans target specific files on remote websites,
while others may target a specific URL that points to a website containing exploit code
that may allow the site to automatically download and execute software or malicious code on vulnerable systems.

Oczywiście jest to typowy atak socjotechniczny próbujący pod teoretycznie bezpieczną nazwą odnośnika przenieść użytkownika do strony propagującej malware. Można zalecić czujność i dużą dawkę zdrowego rozsądku.

2014/06/06 – oryginalny mail

KRD
KRD