anti-spam

Waarschuwing: Nederland heeft last van spam mail

Sinds heden ochtend lijkt geheel Nederland last te hebben van een spam mail met als onderwerp: “Uw nota is nog niet betaald”. In vergelijking met gemiddelde spam is dit mailtje relatief gezien goed opgesteld.

Het mailtje bevat de volgende informatie:

Beste {{VOORNAAM ACHTERNAAM}},
{{FUNCTIE BINNEN BEDRIJF}}, {{BEDRIJFSNAAM}}

Deze herinnering betreft factuurnummer {{RANDOM FACTUURCODE}}. De uiterste
betaaldatum was {{DATUM}}. Het gaat om een bedrag van {{BEDRAG}} €.
Gelieve het bedrag van de factuur te betalen.

Ontvangst a.u.b. bevestigen.

Met vriendelijke groet,

{{INITIALEN ACHTERNAAM}},
{{ACHTERNAAM}}.
{{NAAMBEDRIJF}} {{BEDRIJFSNAAM}} {{ADRES BEDRIJF}}
Tel. +31 {{RANDOM NUMMER}}
Fax. +31 {{RANDOM NUMMER}}

 

spam mail

Bij de spam mail zit echter een .doc bestand toegevoegd, en dit is waar het feitelijk om draait. Het bestand is geen .doc bestand, maar een docx bestand welke Macro’s bevat waarmee getracht word de ontvanger te infecteren.
De inhoud van het document lijkt op vierkante vakjes die de gebruiker ervan tracht te verleiden om Macro’s binnen Word te activeren.

Wanneer Macro’s worden geactiveerd zal het document aanvullende malware downloaden in installeren vanaf de locatie:
– http://ledpronto.com/app/office.bin

De gedownloade malware word de Panda Banker genoemd. En wij doen momenteel verder onderzoek naar deze malware.
Belangrijk om te weten is dat de malware niet actief word wanneer Macro’s niet worden ingeschakeld.
Eveneens lijkt de malware niet te werken op verouderde versies van Microsoft Office.

Update: Sinds 19:17 is de gehackte server welke het kwaadaardige bestand verspreide opgeschoond. Het bestand op de locatie http://ledpronto.com/app/office.bin is daardoor niet meer bereikbaar en mensen welke vandaag dus nog het kwaadaardige word document openen zullen niet meer geïnfecteerd worden.

Update: 

Nader onderzoek heeft uitgewezen dat voor het verspreiden van de spammail diverse IP adressen van voornamelijk ADSL verbindingen uit Rusland zijn gebruikt. Enkele voorbeelden:

  • 5.139.46.166
  • 5.139.104.185
  • 95.37.27.170
  • 37.23.148.112
  • 31.180.42.174
  • 95.70.99.19
  • 213.177.108.176
  • 31.23.136.166

example header:

Received: from [127.0.0.1]

(rfeD-+ZQZhMsIzXZLiLaFFvF72EK+ykNZokallvhK3C3pfuNr64DKee8Ql3gvFhgqa@[31.23.136.166]) by fwd06.t-online.de with (TLSv1:DHE-RSA-AES256-SHA encrypted) esmtp id 1bA9tm-12Glj20; Tue, 7 Jun 2016 07:49:58 +0200

Het lijkt er op dat voor het verspreiden van deze spam legitieme accounts zijn gebruikt van @t-online.deHoe toegang tot deze legitieme accounts is verkregen, en/of hoe deze accounts aangemaakt zijn is niet duidelijk. De mail bevatte ook zeer persoonlijke informatie over de ontvanger. Deze informatie lijkt van LinkedIn afkomstig en is lichtelijk veroudert. Recentelijk is er een data lek aan het licht gekomen bij LinkedIn. Dit lek zou uit 2012 stammen. De informatie gebruikt in de spam emails is echter nieuwer, maar niet volledig actueel. Het lijkt er dus op dat de aanvallers gebruik gemaakt hebben van LinkedIn, maar niet van het data lek dat in de media is behandelt. Wij zijn ook bekend met personen welke de spam mail hebben ontvangen op email adressen die slechts recentelijk door hen zijn aangemaakt of verkregen via de werkgever.

Voor ons is het nog onduidelijk hoe de aanvallers aan deze email adressen gekomen zijn. Ook is niet helemaal duidelijk hoe de aanvallers deze email adressen aan het juiste LinkedIn account hebben kunnen koppelen. De geïnstalleerde malware “Panda Banker” maakt verbinding met het domein skorianial.com. Dit domein word gehost op een proxy server in Canada. Deze server in Canada forward de informatie echter naar een server in Rusland met het IP adres: 5.45.80.32.

Back to overview