[rsnog] nova internet prevara

nesh nesh at secbite.com
Sun Dec 10 23:30:14 CET 2017


Zdravo svima,

Sličan mail je definitivno poslat na više adresa, ono što je zajedničko je:

	Tekst mail-a je isti (razlika je što je naslovljen na drugu osobu ili firmu).
	Subject sadrži tekst "Potrazivanje dugovanja", nakon čega ide osoba, firma i/ili random string.
	Poslat je sa adrese: office[at]adriadoo.com (postoji mogućnost da je poslat sa još nekih adresa).
	U attachment-u se nalazi maliciozni .doc fajl.


Problematično je to što se za svaki poslati .doc fajl (barem ovih nekoliko uzoraka koje sam imao priliku da vidim) generiše drugačija HASH vrednost - dakle, fajlovi su različiti iako se ne vidi razlika u behavior-u.

Na Virus Total-u fajlove detektuje samo 5 engine-a - od poznatijih samo Kaspersky i Eset.


Pozdrav,
Nesh

 
 
 
From: rsnog
[mailto:rsnog-bounces at lists.rnids.rs] On Behalf Of Slobodan Marković

Sent: Sunday, December 10, 2017 10:54 PM

To: RS NOG <rsnog at lists.rnids.rs>

Subject: Re: [rsnog] nova internet prevara
 
 
 
RSNOG nema
portparola :) ali je arhiva liste javna: https://lists.rnids.rs/pipermail/rsnog/
 
 
 
 
 
 
 From: rsnog <rsnog-bounces at lists.rnids.rs> on behalf of IM
<ivanm at security-net.biz>

Reply-To: RSNOG <rsnog at lists.rnids.rs>

Date: Sunday, 10. December 2017. at 22:37

To: RSNOG <rsnog at lists.rnids.rs>, "MAKSNET
D.O.O. Beograd" <info at maksnet.net>

Subject: Re: [rsnog] nova internet prevara
 
 
 
Hvala Marko,
 
Da li mozes da mi prosledis taj email sa sve prilogom?
 
@RSNOG da li imate jos slicnih prijava i da li cete obavestiti javnost
ili ce ovo videti samo korisnici liste?
 
Hvala,

Ivan Markovic
 https://security-net.biz/
 
 
 
On 12/10/17 11:59 AM, MAKSNET D.O.O. Beograd wrote:
 
kolege,
 
 
 
jutros u 5:50h nam je stigla email poruka u
kojoj izvesni azeljkovic ivan, nadovno prvatni izvrsitelj .. obavestava nas da
je preuzeo neki dug ... kod AIK banke itd... 
 
 
 
... mi inace nikad nismo imali nikakvu poslovnu
saradnju sa AIK Bankom
 
 
 
u prilogu maila koji smo dibili nalazi se DOC
fajl, koji u sebi sadrzi navodno kopiju predmeta, ... a u sustini to je macro
virus ...
 
 
 
obzirom da mali broj korisnika jos uvek otvara
ZIP fajlov i ostale fajle tipa JS ili JAR. koji se nalaze direktno u atachmentu
maila , a koji su virusi ... ovaj prevarant se dosetio da code virusa ubaci u
macro unutar DOC fajlala
 
 
 
word najcesce blokira automatsko
pokretanje tog macroa, i zato je potrebno da korisnik rucno dozvoli
pokretanje
 
 
 
ono sto je vrlo simptomaticno, da je u samom
"resenju" laznog izvrsiljeta napisano uputstvo kako da se
dozvoli otvaranje macroa, kako bi korisnik mogao da otvori "kopiju
predmeta"
 
 
 
 
 
"izvrsitelj" se predstavlja kao ADRIA
DOO
 
hosting je u americi , a mail server u svajcarskoj
 
 
 
ovo su podaci sa whois-a
 
https://www.whois.com/whois/adriadoo.com
 
 
 
 
 
ono sto vrlo lako moze da se proveri, ADRIA DOO, ne
postoji registrovana u APR-u
 
 
 
a takodje AZELJKOVIC IVAN ne postoji u
spisku Izvrsitelja , sto moze da se proveri na sajtu komore izvrsitelja
 
http://www.komoraizvrsitelja.rs/?q=imenik-izvrsitelja
 
 
 
 
 
nasa predpostavka je da prevarant menja imena
banke u nadi da ce neko otvoriti macro sa virusom.
 
 
 
 
 
ovo je inace tekst maila koji smo mi dobili:
 
 
 
-------------------------------------------------------------------------------------------------------------
 
Pošstovani, MAKSNET DOO



Ovim putem Vas obavešstavam o preuzimanju naplate Vašseg dugovanja 

nastalog pred "AIK Banka" AD Kragujevac.

Dostavljam Vam rešsenje br. 98888/2017-51 kao i Kopiju predmeta br. 

763/2015 koji se vodi kod "AIK Banka" AD Kragujevac.



Privatni izvrsšitelj

Azeljkovic Ivan.
 -------------------------------------------------------------------------------------------------------------
 
 
 
 
 
 
 
nadam se da je upozorenje stiglo na vreme da sprecite
novu prevaru i zastitite korisnike i sebe ...
 
 
 
 
 
 
 
pozdrav

,

marko
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.rnids.rs/pipermail/rsnog/attachments/20171210/f8edc829/attachment.htm>


More information about the rsnog mailing list