Cyberzagrożenia

Ataki podszywające się pod polskie urzędy GUS i PIP

Czas czytania: 2 min

W ostatnich dniach do skrzynek internautów trafiają wiadomości, których nadawcy podszywają się pod Główny Urząd Statystyczny oraz Państwową Inspekcję Pracy a ich treść ma za zadanie nakłonić przedsiębiorców do uruchomienia załącznika.

Obowiązkowe sprawozdanie o działalności gospodarczej przedsiębiorstw

Taki tytuł nosi wiadomość poczty elektronicznej którą od środy mogli otrzymywać przedsiębiorcy. Jej zawartość wygląda następująco:

ataki-podszywajace-sie-pod-gus-i-pip
Ataki podszywające się pod GUS i PIP

Treść fałszywej wiadomości

Wiadomość została dość dobrze przygotowana. Przestępcy dzień przed rozpoczęciem wysyłki zarejestrowali domenę gusgov.pl, łudząco podobną do prawdziwego adresu GUSu. Pod adresem:

http://gusgov. pl/sprawozdanie_2016 .rar

kryło się archiwum zawierające złośliwe oprogramowanie ukryte w pliku o nazwie

dz.u.nr.88.pdf.pif

GUS najwyraźniej wie już o problemie, ponieważ zamieścił na swojej witrynie odpowiedni komunikat. Domena gusgov.pl od zeszłego piątku nie odpowiadała na próby połączenia.

Informacja o kontroli Panstwowej Inspekcji Pracy w Panstwa firmie

27 maja z kolei pojawiły się zgłoszenia kolejnego oszustwa. Tym razem nadawca podszywa się pod Państwową Inspekcję Pracy. Wiadomość wygląda następująco:

ataki-podszywajace-sie-pod-pip

Wiadomość oszustów

Nie zawiera innej treści oprócz stopki, za to towarzyszy jej załącznik o nazwie

26_05_2016 Powiadomienie.docm

Jest to plik Worda, próbujący nakłonić odbiorcę do uruchomienia makr.

ataki-podszywjace-sie-pod-pip-net-complex

Widok zawartości załącznika

Uruchomienie makro skutkuje pobraniem pliku z adresu zlokalizowanego na serwerach KEI.PL


Excel.exe to samorozpakowujące się archiwum RAR, zawierające dwa pliki: gg.exe oraz 0023starthav.exe. Szczegóły pliku:

  • excel.exe: MD5 cfd5a824ef40f020133bf25968be9cb4, link do VT
  • gg.exe: MD5 f80156c7d714d7dca07a400858d75695, link do VT
  • 0023starthav.exe: MD5 6ff7ebec05c80df56ad3c2c0092fa32a, link do VT

Zawartość to ransomware  Encryptor RaaS, działające w modelu „ransomware as a service”, gdzie autor oprogramowania szyfrującego udostępnia je pobierając niewielką prowizję od klientów. Stawka za odszyfrowanie to ok. 100 dolarów.

ataki-podszywajace-sie-pod-pip-i-gus

Strona ransomware pod adresem http://zem6b3aofh2ysehq.onion

Podsumowanie

Przestępcy sprytnie wybrali moment swoich ataków, gdy odbiorcy, rozproszeni drugą majówką, mogą w przypływie stresu podjąć nieracjonalną decyzję i otworzyć otrzymaną wiadomość. Przed takim atakiem w 100% nie uchronią żadne mechanizmy, jednak można zmniejszyć ryzyko ataku. Dobrze się również wyedukować pod kątem – co zrobić, kiedy zostaniemy już zaatakowani przez oprogramowanie ransomware.

źródło: Zaufana Trzecia Strona

 





Dodaj komentarz