Hlavní navigace

E-maily atakuje zavirovaný spam „Výše pohledávky na vašem účtu…“ [AKTUALIZOVÁNO]

 Autor: Isifa
David Slížek 23. 6. 2014

Českými e-mailovými schránkami se aktuálně šíří spam s podezřelou přílohou. E-mail je v češtině – byť s chybami – a tváří se jako dopis z banky.

Možná i vy jste dnes dopoledne ve své mailové schránce našli e-mail s předmětem „Výše pohledávky na vašem účtu #747582992331197“ (nebo jiné číslo). Podle ohlasů na sociálních sítích zdaleka nejste jediní.

AKTUALIZACE 23.6.Druhá vlna spamové tsunami zasáhla tuzemský internet během dnešního odpoledne. „Během dvou hodin jsme zaznamenali více než tři miliony e-mailů. Lidé si je už i posílají mezi sebou, což znamená, že na první pohled neodhalili, že jde o podvod,“ tvrdí Tomáš Charvát z bezpečnostní firmy Excello

Zajímavostí je, že autor kampaně udělal chybu a místo odesílatele se vkládá do obálkového odesílatele %MF% , což zřejmě představuje proměnnou Mail From. Díky této fatální chybě tvůrce je identifikace a likvidace těchto e-mailů zatím triviální,“ dodává Charvát s tím, že v další vlně už bude tato chyba odstraněna. 

Zpráva, která se tváří jako upozornění na dlužnou částku na účtu nejmenované banky, samozřejmě není pravá. 

Jsme velmi rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k 25.04.2014 dlužné částky na osobní účet ve vysi #747582992331197 7570.95 Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do 17.05.2014.

Jména a adresy odesilatelů se v jednotlivých zprávách liší. Uvedené kontakty jsou zřejmě zčásti skutečné a zčásti mohou být náhodně generované. Adresy a telefonní čísla totiž v řadě případů nefungují, uživatelé ale hlásí i případy, kdy se dovoláte konkrétnímu člověku.

Text e-mailu se snaží přimět uživatele, aby otevřel přílohu ve formátu .ZIP, která má obsahovat smlouvu a platební údaje. Ve skutečnosti je v ní spustitelný soubor .EXE. Antivirové programy AVG a Avast při našem testu hlásily, že v příloze ani v rozbaleném souboru nenašly žádnou hrozbu, Eset v nich nicméně nalezl variantu trojana Win32/Injector.BCSO.

Výsledky skenování se ale u různých uživatelů liší, takže může jít i o více různých variant trojského koně:

Podle vedoucího virové laboratoře AVG Jiřího Kropáče .EXE soubor z přílohy po spuštění zobrazí čistý (tedy nenakažený) dokument ve formátu RTF (jde o smlouvu o půjčce mezi Krajem Vysočina a Nemocnicí Jihlava) a poté stáhne další spustitelný soubor. „Ten se chová jako password/information stealer – krade uživatelsky citlivá a zneužitelná data (hesla, přístupy k internetovému bankovnictví),“ dodává Kropáč.

A co dělat, pokud jste přiložený .EXE soubor otevřeli? Jedno z řešení nabízí na svém blogu Národní CSIRT České republiky:

Pokud jste již sobor nedopatřením spustili, podívejte se do adresáře Users/Vas_uzivatel/AppData/Ro­aming/brothel. Pravděpodobně tam budete mít soubor ate.exe. Podle naší předběžné analýzy se jedná o soubor, který vznikne po spuštění přiloženého .exe souboru. Zároveň je v registrech vytvořen příslušný klíč ve větvi HKEY_CURRENT_USERSoftware­MicrosoftWindowsCurrentVer­sionRun. Klíč i soubor je potřeba smazat. Pokud by se to v normálním režimu nepodařilo, restartujte Windows do nouzového režimu.

Asi není nutné připomínat, že otevírat podezřelé nevyžádané přílohy z neznámého a pochybného zdroje (natož .EXE soubory) je vrcholně nerozumné.

Našli jste v článku chybu?

28. 4. 2014 12:00

diskobolos (neregistrovaný)

Nic jineho nepomuze. Az na vyjimky je to jediny zpusob, jak lidi donutit k slusnemu jednani/chovani.

28. 4. 2014 15:00

A teď se zamyslete, kolik tak procent lidí pracujících s počítačem má svoje vlastní programy, případně by byly schopni vytvořit požadavek o verzi knihovny zkompilované s nějakými parametry.

Navíc u takovýchto uživatelů se tak nějak předpokládá, že nerozkliknou nějakou přílohu jen proto, že jim přijde.

Jinak řečeno, reagujete na příspěvek o počítačích sekretářek námitkou týkající se počítače vývojáře. A to je řekněme zvláštní.

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph