Fałszywe faktury za energię od PGE
Tagi:  darknethakerhakingcyberatak

Fałszywe faktury za energię od PGE

Kolejna firma stała się narzędziem w rękach hakerów. Tym razem chodzi o PGE. Na skrzynki Polaków zaczęła spływać nowa fala fałszywych i złośliwych wiadomości. Kampania może okazać się bardzo skuteczna, bo wiadomości były wysyłane początkiem miesiąca.

Na skrzynki Polaków zaczęła spływać nowa fala fałszywych i złośliwych wiadomości. Tym razem, co jest pewną innowacją, przestępcy podszywają się pod PGE i doskonale wybrali termin wysyłki wiadomości — jest początek miesiąca, a dodatkowo stosują dynamicznie zmieniające się URL-e serwujące złośliwy plik, co zapewne ma utrudnić wyfiltrowanie kampanii przez systemy antyspamowe.

Dobrze podrobione wiadomości

Wiadomości są rozsyłane z różnych adresów e-mail, z opisem: 
From: "PGE Biuro Obslugi Klienta" 
To: 
Subject: eFaktura za energie elektryczna XXXXXXXXXX 

gdzie “X” oznacza dowolną cyfrę. 

Linki w wiadomości mają następującą postać: 

sparkles.ro has address 85.9.35.128
"http://jysproductions.com/wc1ipXhdUvY/X0xKG73H.php?id=E_MAIL&num=3D9184775672" jysproductions.com has address 173.236.11.56 
i kierują na różne URL-e (zmiana za każdym ponownym wejściem

 pge-ebok34.biz has address 5.9.253.168 

wymagające (i tym razem jest to weryfikowane) podania CAPTCHY. Dopiero po jej poprawnym podaniu pobiera się archiwum zip z rzekomą fakturą. Co ciekawe, atakujący nie są zainteresowani pewnymi przeglądarkami internetowymi i systemami operacyjnymi — po wejściu z nich widać następujący komunikat:

 This web does support mobile/MAC browser. Please use PC browser to view the content. 

A użytkownikom Windows pojawi się strona z oknem do wpisania kodu CAPTCHA. Po przepisaniu CAPTCHA, na komputer ofiary pobiera się plik PGE_eFaktura.zip, który zawiera plik PGE_eFaktura.js odpowiedzialny za instalację złośliwego oprogramowania. 

Szczegóły próbki:
MD5 d4d74a9bcdeef11f883266e2c0317fe3 
SHA1 fe1085fa5df307c2d2fc3eb91413e0b59e2642a0 

PS. Przy okazji przypomnijmy, że fałszywe faktury mogą także trafić do was w postaci wydrukowanej. To już się dzieje. Pisaliśmy o tym 2 miesiące temu. 

Aktualizacja 20:00 
Jak informuje czytelnik “Niebezpiecznika”, Krzysztof: 

skrypt szyfruje pliki na dysku oraz lokalizacjach sieciowych, zmienia rozszerzenie plików na .encrypted, w folderach tworzy plik .txt oraz .html HOW_TO_RESTORE_FILES.

Treść pliku txt: 
=============================================================================== 
!!! mamy zaszyfrowane swoje pliki wirusem Crypt0L0cker !!! =============================================================================== 
Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy, dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker. Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku, pliki zostaną utracone. 
Aby odzyskać pliki trzeba zapłacić. 
W celu przywrócenia plików otworzyć naszą stronę internetową i postępuj zgodnie z instrukcjami. Jeśli strona nie jest dostępna, wykonaj następujące czynności:
1. Pobierz i zainstaluj Tor-przeglądarkę z tego linku: https://www.torproject.org/download/download-easy.html.en 
2. Po instalacji uruchom przeglądarkę i wpisać adres: 
3. Postępuj zgodnie z instrukcjami na stronie internetowej. 

źródło: Niebezpiecznik
Oceń blog:
Czas czytania: 4 min
Data: 02.06.2016

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy