I løbet af de seneste 3 dage har de it-kriminelle, som anvender Postnord og anden lokkemad i spammails, genstartet deres skadelige kampagner.
Målet er at lokke vilkårlige modtagere til at klikke på et link som flytter trafikken til flere kompromitterede websider. CSIS har allerede blokeret flere end 100 domæner i CSIS Secure DNS relateret til disse nye kampagner. Payloaden er Cryptolocker2 og antivirus detektion er desværre yderst lav.
De ankommer med et indhold, som minder om tidligere spam kampagner, men det sprogmæssige indhold er imidlertid blevet lettere forfinet.
Et eksempel herunder:
Fra: [Spoofet / forfalsket afsender adresse]
Emnelinje:
[%navn på modtageren%] Paketet inte har levererats (Norge)
[%navn på modtageren%] PostNord - Forsendelse Meddelelse (Danmark)
frakt Anmalan Forsandelse [postnummer] (Sverige)
Indhold: (skærmdump af indholdet er gengivet herunder)
Som det fremgår af ovenstående skærmdump, så gøres der brug af et link, som anvender en dynamisk genereret mappe på den kompromitterede server til at levere indholdet.
Indholdet af mappen kan se ud som følgende: 
Bemærk, at disse filer også dannes dynamisk. En analyse afslører at den pågældende payload, som leveres som en zip-fil, kun kan leveres en gang og at man fra de it-kriminelles side har blokeret flere IP adresser som CSIS anvender. Det er formentligt gjort for at besværliggøre vores analyser. Derudover leveres payloaden udelukkende til IP adresser i Skandinavien.
Et lille udsnit af domæner, som misbruges i det seneste spamrun, findes herunder (saniteret af CSIS)
romashka-plus[.]ru
goldcomfort[.]ru
fastparket[.]ru
Der er i alle de tilfælde, som vi har observeret, været tale om Joomla installationer som kompromitteres.
Den fil der leveres er som nævnt pakket i zip. Den binære kode kamoufleres som et PDF dokument og leveres som "info_[5 vilkårlige tal].zip og hentes fra (saniteret af CSIS).
downloader.disk.yandex[.]com
Denne binære kode er lettere modificeret fra tidligere og bærer flere og flere ligheder med Teslacrypt.
Man kan med god effekt blokere for ord der optræder i indholdet af disse spammails på sin email gateway. Der er flere ord i indholdet, som i kombination med hinanden, næppe vil blive sendt til danske virksomheder med legitime formål.
CSIS planlægger at lancere en ny mailfirewall service i 2016 som i højere grad kan adressere disse mere og mere lokaliserede spamkampagner som internationale udbydere simpelthen ikke opsnapper tids nok. Mere om det i begyndelsen af det nye år.
I mellemtiden så uddan brugeren og varsko dem om disse skadelige PostNord kampagner og beskyt din infrastuktur med CSIS Secure DNS eller Heimdal PRO/corporate.
↧
CSIS Nyheder: Pas på Postnord spammails
↧