Mailingowa kampania przestępców z wykorzystaniem Tpay oraz PayU

Mailingowa kampania przestępców

Przestępcy wykorzystując sprytną sztuczkę i podając się za firmy związane z płatnościami ekspresowymi Tpay lub Payu rozsyłają niebezpiecznego trojana vjw0rm przy pomocy załącznika.

Kampania mailingowa

Przestępcy przygotowali bardzo dobrze opracowaną wiadomość e-mail, która do bardzo dobrze odwzorowuje prawdziwą wiadomość którą możemy otrzymać podczas wykorzystania płatności ekspresowych PayU lub Tpay. Wiadomość dotarła również na jedną z naszych skrzynek.

Co ciekawe – adres nadawcy wygląda wiarygodnie, jakby rzeczywiście wiadomość została nadana przez automat firmy. W niektórych wiadomościach pojawia się nawet przycisk do sprawdzenia statusu płatności, który prowadzi do prawdziwej strony zabezpieczonej SSL z informacją o opłaceniu transakcji.

Koń trojański w załączniku

Najbardziej niebezpieczny jest jednak załącznik z roszerzeniem .js na końcu.

Zawiera on losowe zbitki słów, które nie mają nic wspólnego z potwierdzeniem rzekomej transakcji (Pisownia oryginalna – plik nie posiadał kodowania do polskich znaków):

Polsce, raczy ?askawy czytelnik wybaczy? mniejszym uchybieniom w ?adnym punkcie nieoddala? si? z tych dar?w Bo?ych. Wi?c z?o b?dzie chcia? szafowa?. On tak jest; rum zamiast ie on. si? on Epikurejskiemu przeciwleg?y. Zeno m?wi?, ?e jest przeciwne prawid?om rozumu. Albo? sobie pomy?le? mo?na. Co? czy chcemy nawr?ci?, w samej rzeczy szcz?liwo?ci godnemi by? przyczytane. W przyczytaniu wypadk?w uwa?ajmy jako Istno?? wzelkich Istno?ciow pokazuje, kt?r? nieinaczej jak tylko b?d? pojedy?cze oznaczenia owych fundamentalnych poj?ci?w. Tu bowiem poi?cie o Dobru. Dobro mia?by w samej tylko prostej zap?aty Czyny za? ju? tak wielka godno?? kt?ra przez si?, i zostanie zawsze wewn?trzn? odmian? w.

Sposób ataku

Wysyłka prowadzona jest przez hosting Nazwa.pl, zwykle serwer abr101.rev.netart.pl (abr101.rev.netart.pl [77.55.43.101]). 

Sprawcy wykorzystują spoofing (umieszczanie w sieci preparowanych pakietów danych lub niepoprawne używanie protokołów) adres nadawcy przez co tylko serwery nie weryfikujące DKIM (DomainKeys Identified Mail) i SPF (Sender Policy Framework) przepuszczają takie wiadomości i rozsyłają je pod e-mailem wybranym przez przestępcę.

Sposób ochrony

Obie firmy – Tpay i PayU informują o takim ataku na swoich stronach internetowych.

Zagrożone są głównie system Windows oraz Android.

Należy zawsze dokładnie czytać nazwę i rozszerzenie załącznika i nie otwierać go bez kontaktu z działem IT.

Warto dodać iż niektóre antywirusy mogą nie rozpoznać konia trojańskiego vjw0rm jeśli nie są na bieżąco aktualizowane!

Źródło: PayU


< >