E-maily atakuje zavirovaný spam „Výše pohledávky na vašem účtu…“ [AKTUALIZOVÁNO]

Českými e-mailovými schránkami se aktuálně šíří spam s podezřelou přílohou. E-mail je v češtině – byť s chybami – a tváří se jako dopis z banky.

reklama

Možná i vy jste dnes dopoledne ve své mailové schránce našli e-mail s předmětem „Výše pohledávky na vašem účtu #747582992331197“ (nebo jiné číslo). Podle ohlasů na sociálních sítích zdaleka nejste jediní.

AKTUALIZACE 23.6.Druhá vlna spamové tsunami zasáhla tuzemský internet během dnešního odpoledne. „Během dvou hodin jsme zaznamenali více než tři miliony e-mailů. Lidé si je už i posílají mezi sebou, což znamená, že na první pohled neodhalili, že jde o podvod,“ tvrdí Tomáš Charvát z bezpečnostní firmy Excello

Zajímavostí je, že autor kampaně udělal chybu a místo odesílatele se vkládá do obálkového odesílatele %MF% , což zřejmě představuje proměnnou Mail From. Díky této fatální chybě tvůrce je identifikace a likvidace těchto e-mailů zatím triviální,“ dodává Charvát s tím, že v další vlně už bude tato chyba odstraněna. 

Zpráva, která se tváří jako upozornění na dlužnou částku na účtu nejmenované banky, samozřejmě není pravá. 

Jsme velmi rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k 25.04.2014 dlužné částky na osobní účet ve vysi #747582992331197 7570.95 Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do 17.05.2014.

Jména a adresy odesilatelů se v jednotlivých zprávách liší. Uvedené kontakty jsou zřejmě zčásti skutečné a zčásti mohou být náhodně generované. Adresy a telefonní čísla totiž v řadě případů nefungují, uživatelé ale hlásí i případy, kdy se dovoláte konkrétnímu člověku.

Text e-mailu se snaží přimět uživatele, aby otevřel přílohu ve formátu .ZIP, která má obsahovat smlouvu a platební údaje. Ve skutečnosti je v ní spustitelný soubor .EXE. Antivirové programy AVG a Avast při našem testu hlásily, že v příloze ani v rozbaleném souboru nenašly žádnou hrozbu, Eset v nich nicméně nalezl variantu trojana Win32/Injector.BCSO.

Výsledky skenování se ale u různých uživatelů liší, takže může jít i o více různých variant trojského koně:

Podle vedoucího virové laboratoře AVG Jiřího Kropáče .EXE soubor z přílohy po spuštění zobrazí čistý (tedy nenakažený) dokument ve formátu RTF (jde o smlouvu o půjčce mezi Krajem Vysočina a Nemocnicí Jihlava) a poté stáhne další spustitelný soubor. „Ten se chová jako password/information stealer – krade uživatelsky citlivá a zneužitelná data (hesla, přístupy k internetovému bankovnictví),“ dodává Kropáč.

KL2014

       

A co dělat, pokud jste přiložený .EXE soubor otevřeli? Jedno z řešení nabízí na svém blogu Národní CSIRT České republiky:

Pokud jste již sobor nedopatřením spustili, podívejte se do adresáře Users/Vas_uzivatel/AppData/Ro­aming/brothel. Pravděpodobně tam budete mít soubor ate.exe. Podle naší předběžné analýzy se jedná o soubor, který vznikne po spuštění přiloženého .exe souboru. Zároveň je v registrech vytvořen příslušný klíč ve větvi HKEY_CURRENT_USERSoftware­MicrosoftWindowsCurrentVer­sionRun. Klíč i soubor je potřeba smazat. Pokud by se to v normálním režimu nepodařilo, restartujte Windows do nouzového režimu.

Asi není nutné připomínat, že otevírat podezřelé nevyžádané přílohy z neznámého a pochybného zdroje (natož .EXE soubory) je vrcholně nerozumné.

David Slížek

David Slížek - avatar

Šéfredaktor Lupa.cz, dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn.

Školení: Jak na firemní Facebook prakticky

  •  
    Jak efektivně propojit Facebook s webem.
  • Jak vše měřit a vyhodnocovat.
  • Jak řešit krizové situace.

Detailní informace o školení Facebooku »

       
133 názorů Vstoupit do diskuse
poslední názor přidán 15. 7. 2014 19:26
Zasílat nově přidané příspěvky e-mailem