Путеводитель по сайту

Дело о… лжесотруднике Сбербанка

 

***

…Намедни получил очередное электронное письмо с "сюрпризом", – якобы от сотрудника Сбербанка: «(Тема: уведомление о выставлении нового счета) Здравствуйте! У Вас имеется новый счет, который можете загрузить на нашем сайте https://lk.sberbank.ru/downloads/175-2017-04/id885865gte1753623...

По всем имеющимся вопросам можете связаться по телефонам, указанным на нашем сайте.

С уважением, Матвеев Сергей Святославович

менеджер по работе с клиентами

Сбербанк России (ПАО)

Тел.: +7 495 500-555-0

8 800 555-555-0 (звонок бесплатный)

УВЕДОМЛЕНИЕ О КОНФИДЕНЦИАПЬНОСТИ (sic! – В.С.): Это электронное сообщение и любые документы, приложенные к нему, содержат конфиденциальную информацию. Настоящим уведомляем Вас o TOM, что если это сообщение не предназначено Вам, использование, копирование, распространение информации, содержащейся в настоящем сообщении, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю по электронной почте и удалите это сообщение.

CONFIDENTIALITY NOTICE: This email and any files attached to it are confidential. If you are not the intended recipient you are notified that using, copying, distributing or taking any action in reliance on the contents of this information is strictly prohibited. If you have received this email in error, please notify the sender and delete this email».

 

Дело о лжесотруднике Сбербанка

 

 

Письмо содержит вложение – пустой вордовский файл (105 байт).

К письму добавлены ложные заголовки "Received:" якобы отправлено с адреса сотрудника Сбербанка matveev.s@lk.sberbank.ru. Указан также (вероятно фиктивный) адрес veronika@host.exevio.com. На самом деле письмо отправлено с помощью php-скрипта с сайта apartmentveronika.com (возможно, взломанного).

Злоумышленник скрывается за ip-адресом 95.85.31.158 (закреплён за нидерландским провайдером).

 

Под видимой (ложной!) гиперссылкой, указанной в письме (lk.sberbank.ru/downloads/175-2017-04/id885865gte1753623) (кстати, в письме указаны реальные телефоны Службы помощи Сбербанка!), скрывается настоящая, на которую и осуществляется редирект otokiralamaordu.org/wp-content/themes/metropolis/includes/pixons/sber_schet.html.

При переходе по этому адресу осуществляется ещё один редирект (aoti-wizard.ru/media/editors/tinymce/plugins/table/Documents.zip) и на ПК пользователя скачивается архив Documents.zip (8 315 байт).

 

В архиве содержится вредоносный файл TБTЗ¦¦TВ_xls.js (файл сценария JScript; 20 110 байт).

 

Дело о лжесотруднике Сбербанка

 

 

Файл TБTЗ¦¦TВ_xls.js содержит обфусцированный вредоносный код.

 

Дело о лжесотруднике Сбербанка

 

 

После скачивания вредоносного файла осуществляется ещё один автоматический редирект – на фишинговую страницу, имитирующую сайт Сбербанка (если пользователь залогинится там, то его финансовые данные будут украдены!).

 

 

Файл TБTЗ¦¦TВ_xls.js является троянской программой для 32-битной ОС Windows с процессором x86.

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

 

Злоумышленник использовал метод так называемой социальной инженерии: для усыпления бдительности и отвлечения внимания получателя письма он представился сотрудником Сбербанка.

Кроме того, вредоносное вложение содержит символы xls, – якобы это файл электронной таблицы Microsoft Office Excel.

 

***

Деструктивные действия вируса:

– в системных каталогах %TEMP%\, %WINDIR%\, %WINDIR%\System32\ создаёт копии исполняемых файлов вируса (.exe), названия которых состоят из случайной буквенно-цифровой последовательности символов;

– изменяет некоторые ключи Реестра Windows (в разделах [HKLM\SOFTWARE\] и [HKLM\SYSTEM\]);

– внедряется в адресное пространство системных процессов epxplorer.exe и taskmgr.exe;

– открывает на локальном ПК необходимые для связи с серверами злоумышленников UDP- и TCP-порты;

– загружает с серверов злоумышленников и устанавливает на ПК сопутствующее вредоносное программное обеспечение;

– в фоновом режиме запускает установленные в системе веб-браузеры и загружает рекламу, приносящую доход злоумышленникам;

– …

 

***

Как не стать жертвой кибермошенников:

– используйте антивирусное программное обеспечение;

– регулярно выполняйте антивирусную проверку своего ПК – для своевременного обнаружения вредоносного программного обеспечения;

– своевременно устанавливайте обновления операционной системы и прикладного программного обеспечения своего ПК;

– не доверяйте электронным письмам от незнакомых отправителей (не кликайте по предложенным ссылкам, не загружайте и не открывайте прикреплённые файлы, – они могут содержать вредоносный код);

– старайтесь не посещать сомнительные ресурсы и – тем более! – не кликайте по ссылкам и "картинкам" с «интригующими» сообщениями;

– во избежание фишинговых атак рекомендуется вводить адреса веб-ресурсов (в адресной строке веб-браузеров) вручную;

– помните, что «воспользовавшись услугами» фишингового сайта, вы не только рискуете потерять свои деньги и данные своего аккаунта, но и подвергаетесь риску скомпрометировать свои конфиденциальные данные (№ мобильного телефона, банковские данные и т.д.), – злоумышленники могут воспользоваться ими в своих корыстных целях;

– не указывайте номер своего мобильного телефона на различных веб-ресурсах (форумах, etc.), – иначе вас могут завалить спамом;

– …

 

 

 

***

Соблюдение элементарных правил безопасности и здравый смысл помогут вам сберечь всё, что нажито честным непосильным трудом и нервы, и деньги

 

Валерий Сидоров

 

 

***

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Раскрывая тайны Windows…

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2017. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.