Nowe oszustwo na fakturę od Orange

CERT Orange Polska ostrzega przed kampanią phishingową, w której oszuści rozsyłają e-maile podszywające się pod faktury operatora. Wiadomość ma wyglądać wiarygodnie, ale w rzeczywistości jej celem jest zainfekowanie komputera złośliwym oprogramowaniem Formbook, czyli jednym z bardziej znanych programów do wykradania danych.

Malware działa w sieci od lat i mimo licznych modyfikacji jego zadanie pozostaje niezmienne. Po uruchomieniu na komputerze zbiera zapisane w przeglądarkach loginy i hasła, dane autouzupełniania, a nawet przechwytuje wpisywane znaki czy zrzuty ekranu. Szczególnie groźny staje się wtedy, gdy ofiara loguje się do bankowości elektronicznej. Formbook potrafi bowiem podszywać się pod strony banków na tyle skutecznie, że użytkownik może sam przekazać przestępcom również kody autoryzacyjne.

W opisywanym przypadku oszuści wykorzystali wiadomość stylizowaną na korespondencję od Orange. Już na pierwszy rzut oka można jednak zauważyć kilka nieścisłości. W prawdziwych fakturach operator podaje pełny numer klienta oraz jego dane, tymczasem fałszywa wiadomość takich informacji nie zawiera. Podejrzany jest także adres nadawcy. Choć w nazwie pojawia się Orange, faktyczny adres należy do zupełnie innej domeny.

Najważniejszym elementem ataku okazuje się załącznik. To archiwum ZIP, w którym ukryto plik udający dokument PDF. W rzeczywistości ma on rozszerzenie „.pdf.bat”, a więc po kliknięciu nie otwiera faktury, lecz uruchamia skrypt. Ten pobiera kolejne elementy złośliwego oprogramowania, odszyfrowuje je na komputerze ofiary i finalnie uruchamia Formbook w systemie. Od tej chwili wykonywanie jakichkolwiek operacji finansowych na zainfekowanym urządzeniu może oznaczać przejęcie danych przez cyberprzestępców.

Orange zwraca uwagę, że tego typu kampanie są szczególnie niebezpieczne dla firm, bo fałszywe faktury wciąż pozostają jedną z najskuteczniejszych metod infekowania komputerów. Dlatego przed otwarciem wiadomości warto dokładnie sprawdzić nadawcę, porównać jej wygląd z wcześniejszą korespondencją i zachować szczególną ostrożność wobec archiwów ZIP, zwłaszcza jeśli pojawiają się niespodziewanie. W przypadku firm dodatkowym sygnałem ostrzegawczym powinno być też to, że dokument tego typu może w ogóle nie przyjść mailem, lecz trafić inną oficjalną drogą.

Szczegóły plików i IoC

guloader: ./FAKTURA-P-261015-2794545112-00007204·pdf.bat
sha256: 2755b455dd4d65bfb644caec9a917f6dd51ca022832fd0a9351bd7aaa1034ca2

Stage 2: drive.google[.]com/uc?export=download&id=1H9kANgEA7nQ1JvB3pTuT4WO9qHXcDULm
sha256: 8c821d6da9295f4977df0b0d1b503972d7078d8da80ffc97004a5a4a56746b96

Final stage: drive.google[.]com/uc?export=download&id=1H9kANgEA7nQ1JvB3pTuT4WO9qHXcDULm
sha256: c7fd6da98b258768a62b22f043e19b35b741e333acb4df92b532dd9ed598a42f

Formbook config:
www.3701157[.]xyz
www.dusakabinsilikonu[.]com
www.rightnova[.]site
www.beyazmeramdis[.]com
www.nrarch[.]com
www.hitaohao[.]com
www.novo-immobilien[.]ch
www.reliablepicksbay[.]shop
www.tixcredit[.]com
www.kairoscon.com[.]br
www.pvpticaret[.]xyz
www.distribucionesmary[.]com
www.lytostech[.]online
www.hamertondonkeystud[.]com
www.apteekkaripaivat[.]com
www.fancke[.]xyz