Orange ostrzega klientów. Fałszywe faktury są bardzo niebezpieczne
Zespół CERT działający w ramach Orange przestrzega przed nowym atakiem narażającym na szwank bezpieczeństwo klientów tej sieci. Uwagę zwraca, że atakujący włożyli w jego dopracowanie sporo pracy, przez co całość wypada przekonująco i jest tym bardziej groźna.
Fałszywy mail z Orange
Mail, który trafia do klientów sieci, jest łudząco podobny do prawdziwej korespondencji. Samo Orange potwierdza, że jest to w zasadzie „kopia 1:1”. Tym razem działanie napastników skupia się na rozsyłaniu fałszywych faktur. W treści maila pada informacja, że minął termin płatności i klient proszony jest o niezwłoczne uregulowanie należności.
W treści wiadomości znajdują się też linki – przycisk pozwala na płatność online, zaś drugi odsyłacz umożliwia skorzystanie z rzekomego polecania zapłaty. Co ciekawe, faktycznie prowadzą do stron Orange. Jedynym mankamentem maila, który może budzić podejrzliwość, jest obcy szyk słów w zaledwie jednym fragmencie oznaczonym na czerwono.
Oszuści podszywają się pod banki i BIK. Uwaga na SMS-y o wnioskachZamiast faktury z Orange skrypt z dropperem
Metodą oszustów na dostarczenie złośliwego oprogramowania do pamięci urządzenia nie są linki (nie jest stosowany spoofing), lecz załącznik, w którym według zapewnień fałszywych pracowników Orange mamy znaleźć fakturę opiewającą na rzekomo zaległą kwotę.
W załączniku znajdziemy archiwum ZIP o nazwie 21110498774987·pdf.zip. Orange zwraca uwagę na wykorzystanie rzadkiego znaku iloczynu, a nie kropki, co może służyć do rozpoznania, że mamy do czynienia z kampanią phishingową. Po rozpakowaniu archiwum nie znajdujemy w folderze pliku PDF z fakturą, lecz skrypt Visual Basic (plik w formacie VBS).
Skutecznych tylko 7 z 61 antywirusów
Po uruchomieniu skryptu działać zaczyna malware, który jest aktualnie analizowany. Z dotychczasowych ustaleń wynika, że mamy do czynienia z zagrożeniem o nazwie GULoader, który napastnik może wykorzystać do pobierania dowolnego innego malware.
Co ważne, aktualnie GULoadera w pliku rozpoznaje zaledwie 7 z 61 silników antywirusowych. CERT Orange zaleca zwracanie uwagi, czy maile pochodzące rzekomo od Orange zawierają takie dane jak imię i nazwisko abonenta, dane firmy czy właściwy nr klienta – jeśli ich brakuje, wiadomość należy zignorować.
