Hlavní navigace

E-maily atakuje zavirovaný spam „Výše pohledávky na vašem účtu…“ [AKTUALIZOVÁNO]

 Autor: Isifa
David Slížek 23. 6. 2014

Českými e-mailovými schránkami se aktuálně šíří spam s podezřelou přílohou. E-mail je v češtině – byť s chybami – a tváří se jako dopis z banky.

Možná i vy jste dnes dopoledne ve své mailové schránce našli e-mail s předmětem „Výše pohledávky na vašem účtu #747582992331197“ (nebo jiné číslo). Podle ohlasů na sociálních sítích zdaleka nejste jediní.

AKTUALIZACE 23.6.Druhá vlna spamové tsunami zasáhla tuzemský internet během dnešního odpoledne. „Během dvou hodin jsme zaznamenali více než tři miliony e-mailů. Lidé si je už i posílají mezi sebou, což znamená, že na první pohled neodhalili, že jde o podvod,“ tvrdí Tomáš Charvát z bezpečnostní firmy Excello

Zajímavostí je, že autor kampaně udělal chybu a místo odesílatele se vkládá do obálkového odesílatele %MF% , což zřejmě představuje proměnnou Mail From. Díky této fatální chybě tvůrce je identifikace a likvidace těchto e-mailů zatím triviální,“ dodává Charvát s tím, že v další vlně už bude tato chyba odstraněna. 

Zpráva, která se tváří jako upozornění na dlužnou částku na účtu nejmenované banky, samozřejmě není pravá. 

Jsme velmi rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k 25.04.2014 dlužné částky na osobní účet ve vysi #747582992331197 7570.95 Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do 17.05.2014.

Jména a adresy odesilatelů se v jednotlivých zprávách liší. Uvedené kontakty jsou zřejmě zčásti skutečné a zčásti mohou být náhodně generované. Adresy a telefonní čísla totiž v řadě případů nefungují, uživatelé ale hlásí i případy, kdy se dovoláte konkrétnímu člověku.

Text e-mailu se snaží přimět uživatele, aby otevřel přílohu ve formátu .ZIP, která má obsahovat smlouvu a platební údaje. Ve skutečnosti je v ní spustitelný soubor .EXE. Antivirové programy AVG a Avast při našem testu hlásily, že v příloze ani v rozbaleném souboru nenašly žádnou hrozbu, Eset v nich nicméně nalezl variantu trojana Win32/Injector.BCSO.

Výsledky skenování se ale u různých uživatelů liší, takže může jít i o více různých variant trojského koně:

Podle vedoucího virové laboratoře AVG Jiřího Kropáče .EXE soubor z přílohy po spuštění zobrazí čistý (tedy nenakažený) dokument ve formátu RTF (jde o smlouvu o půjčce mezi Krajem Vysočina a Nemocnicí Jihlava) a poté stáhne další spustitelný soubor. „Ten se chová jako password/information stealer – krade uživatelsky citlivá a zneužitelná data (hesla, přístupy k internetovému bankovnictví),“ dodává Kropáč.

KL_HLASOVANI

A co dělat, pokud jste přiložený .EXE soubor otevřeli? Jedno z řešení nabízí na svém blogu Národní CSIRT České republiky:

Pokud jste již sobor nedopatřením spustili, podívejte se do adresáře Users/Vas_uzivatel/AppData/Ro­aming/brothel. Pravděpodobně tam budete mít soubor ate.exe. Podle naší předběžné analýzy se jedná o soubor, který vznikne po spuštění přiloženého .exe souboru. Zároveň je v registrech vytvořen příslušný klíč ve větvi HKEY_CURRENT_USERSoftware­MicrosoftWindowsCurrentVer­sionRun. Klíč i soubor je potřeba smazat. Pokud by se to v normálním režimu nepodařilo, restartujte Windows do nouzového režimu.

Asi není nutné připomínat, že otevírat podezřelé nevyžádané přílohy z neznámého a pochybného zdroje (natož .EXE soubory) je vrcholně nerozumné.

Našli jste v článku chybu?
Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

120na80.cz: Na různou rýmu různá homeopatie

Na různou rýmu různá homeopatie

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?