Kolejna duża kampania spam z dystrybucją malware Vawtrak

PREBYTES Security Incident Response Team -

Wykryliśmy kolejną już w tym roku dużą kampanię spam. Cyberprzestępcy, masowo rozsyłają wiadomości email z niebezpiecznymi załącznikami. W każdym temacie słowem kluczowym jest "faktura" lub "fv", a załącznik do pobrania jest w formacie .xls, czyli arkuszu kalkulacyjnym programu Excel. Po uruchomieniu dokumentu użytkownik proszony jest o uruchomienie niebezpiecznego makra.

Zobacz jak wygląda wiadomość, którą mogłeś otrzymać.

Załączniki o różnych nazwach dystrybuowane są z taką samą sumą kontrolną i kryją malware Vawtrak. Złośliwe oprogramowanie po zainstalowaniu atakuje strony bankowości online i wykrada poufne dane Klientów banku.

Suma kontrolna MD5:
0BEA049ACD06916BCD1745AF8DD12BDF

Oto kilka przykładowych wiadomości o różnej treści.

Schemat tworzonych przez przestępców wiadomości jest bardzo podobny. Z pewnością rozpoznasz taką, jeśli trafi na Twoją skrzynkę. Przygotowaliśmy dla Ciebie spis przykładowych tematów wiadomości, wraz z nazwami załączników.

Faktura FV/14/03/2018
Dokument VAT I - 770246.xls

Faktura FV/49/03/2018
Dokument VAT I - 517434.xls

Faktura FV/96/03/2018
Dokument VAT I - 260580.xls

Faktura FV/67/03/2018
Dokument VAT I - 467259.xls

Faktura FV/38/03/2018
Dokument VAT I - 340480.xls

Faktura FV/32/03/2018
Dokument VAT I - 740092.xls

Faktura FV/93/03/2018
Dokument VAT I - 521587.xls

Faktura FV/02/03/2018
Dokument VAT I - 525183.xls

Faktura FV/72/03/2018
Dokument VAT I - 891673.xls

Faktura FV/73/03/2018
Dokument VAT I - 087665.xls

Faktura za 03.2018
Dokument VAT I - 876630.xls
Dokument VAT I - 324051.xls
Dokument VAT I - 302475.xls
Dokument VAT I - 038200.xls
Dokument VAT I - 641389.xls
Dokument VAT I - 076192.xls
Dokument VAT I - 773785.xls

Faktury
Dokument VAT I - 580692.xls
Dokument VAT I - 662791.xls
Dokument VAT I - 280437.xls
Dokument VAT I - 953792.xls
Dokument VAT I - 670128.xls
Dokument VAT I - 945333.xls
Dokument VAT I - 988214.xls
Dokument VAT I - 218716.xls
Dokument VAT I - 869926.xls
Dokument VAT I - 544907.xls
Dokument VAT I - 621685.xls
Dokument VAT I - 776205.xls
Dokument VAT I - 964107.xls
Dokument VAT I - 489886.xls
Dokument VAT I - 472528.xls

Rozliczenie faktura
Dokument VAT I - 102074.xls
Dokument VAT I - 258582.xls
Dokument VAT I - 572252.xls
Dokument VAT I - 831788.xls
Dokument VAT I - 096058.xls
Dokument VAT I - 455259.xls
Dokument VAT I - 596960.xls
Dokument VAT I - 524088.xls
Dokument VAT I - 978946.xls
Dokument VAT I - 289044.xls
Dokument VAT I - 488197.xls
Dokument VAT I - 829136.xls
Dokument VAT I - 071707.xls
Dokument VAT I - 503122.xls
Dokument VAT I - 179785.xls
Dokument VAT I - 409360.xls

FV KORYGUJĄCA
Dokument VAT I - 713758.xls
Dokument VAT I - 068159.xls
Dokument VAT I - 700487.xls
Dokument VAT I - 716050.xls
Dokument VAT I - 988954.xls
Dokument VAT I - 277470.xls
Dokument VAT I - 710062.xls
Dokument VAT I - 645828.xls
Dokument VAT I - 734698.xls
Dokument VAT I - 278985.xls
Dokument VAT I - 183350.xls

Faktura VAT 138406642
Dokument VAT I - 077691.xls

Faktura VAT 346768515
Dokument VAT I - 301465.xls

Faktura VAT 635938611
Dokument VAT I - 247268.xls

Faktura VAT 006711877
Dokument VAT I - 466889.xls

Faktura VAT 202121803
Dokument VAT I - 716972.xls

Faktura VAT 121926983
Dokument VAT I - 644712.xls

Faktura VAT 792091278
Dokument VAT I - 451266.xls

Faktura VAT 862193193
Dokument VAT I - 871158.xls

Wydruk [Faktura VAT / Faktura VAT]
Dokument VAT I - 516578.xls
Dokument VAT I - 978253.xls
Dokument VAT I - 158561.xls
Dokument VAT I - 136953.xls
Dokument VAT I - 683011.xls
Dokument VAT I - 189768.xls
Dokument VAT I - 892981.xls
Dokument VAT I - 145622.xls
Dokument VAT I - 947482.xls

faktura wraz ze specyfikacją 65/2018
Dokument VAT I - 654218.xls

faktura wraz ze specyfikacją 16/2018
Dokument VAT I - 932030.xls

faktura wraz ze specyfikacją 67/2018
Dokument VAT I - 615113.xls

faktura wraz ze specyfikacją 28/2018
Dokument VAT I - 369490.xls

faktura wraz ze specyfikacją 55/2018
Dokument VAT I - 739493.xls

faktura wraz ze specyfikacją 76/2018
Dokument VAT I - 195608.xls

faktura wraz ze specyfikacją 26/2018
Dokument VAT I - 152230.xls

faktura wraz ze specyfikacją 77/2018
Dokument VAT I - 839591.xls

faktura wraz ze specyfikacją 20/2018
Dokument VAT I - 726875.xls

faktura wraz ze specyfikacją 87/2018
Dokument VAT I - 657155.xls

faktura wraz ze specyfikacją 36/2018
Dokument VAT I - 162225.xls

Cyberprzestępcy rozsyłają również spam o temacie RE: zamówienie. Wiadomości również zawierają załączniki w formacie .xls. Nazwy załączników są tworzone według takiego samego schematu, czyli Zam-[losowy numer] proforma [losowy użytkownik]. Wszystkie pliki mają taką samą sumę kontrolną i kryją złośliwe oprogramowanie Vawtrak.

MD5: 3772AB3092193DFB4A0C78AB31600A07

Zobacz, jak wygląda jedna z wiadomości, które przestępcy od rana masowo rozsyłają.

RE: zamówienie
Zam-8110 proforma (helmut75).xls
Zam-7845 proforma (helmut37).xls
Zam-7698 proforma (barbara50).xls
Zam-4530 proforma (barbara45).xls
Zam-5749 proforma (daniel30).xls
Zam-7303 proforma (daniel80).xls
Zam-1761 proforma (billy18).xls
Zam-1222 proforma (billy14).xls
Zam-5759 proforma (billy68).xls
Zam-6394 proforma (william69).xls
Zam-5258 proforma (krystyna97).xls
Zam-3194 proforma (krystyna68).xls
Zam-1998 proforma (krystyna79).xls
Zam-7710 proforma (erika44).xls
Zam-3113 proforma (sales71).xls
Zam-7408 proforma (office80).xls
Zam-7537 proforma (radoslaw10).xls
Zam-6115 proforma (radoslaw35).xls
Zam-5704 proforma (radoslaw53).xls
Zam-0253 proforma (radoslaw86).xls
Zam-4963 proforma (agnes34).xls
Zam-4837 proforma (agnes69).xls
Zam-2498 proforma (alison24).xls
Zam-7056 proforma (alison15).xls
Zam-7089 proforma (alison68).xls
Zam-6543 proforma (rolf63).xls
Zam-4206 proforma (rolf10).xls
Zam-2117 proforma (rolf64).xls
Zam-3798 proforma (anna24).xls
Zam-6290 proforma (anton87).xls
Zam-2537 proforma (anton99).xls
Zam-9699 proforma (biuro76).xls
Zam-2887 proforma (dept75).xls
Zam-5656 proforma (dept62).xls
Zam-3744 proforma (respo12).xls
Zam-7021 proforma (respo91).xls
Zam-4505 proforma (gerhard59).xls
Zam-6672 proforma (witkacy47).xls
Zam-5344 proforma (galya53).xls

Spływające od rana wiadomości pokazują skalę ataku. A jest ona bardzo duża. Nie trać czujności, bo detekcja tego zagrożenia przez programy antywirusowe jest bardzo niska!

Podobna kampania spam była już opisywana przez nas na blogu Przeczytaj artykuł..