malware

Fałszywa faktura od Orange

Jak rozpoznać fałszywą fakturę od Orange?

Opublikowano 15.11.2023 16:45

Zespół CERT Orange Polska zidentyfikował nową kampanię złośliwego oprogramowania. Przestępcy podszywają się pod firmę Orange i wysyłają fałszywą fakturę, która wygląda bardzo podobnie jak ta oficjalna.

Jedna z różnic to dziwnie sformułowanie zdanie:

Znajdź załączoną fakturę za płatność. Czy zrobiłeś to już? Zignoruj tę wiadomość.

Zamiast faktury w załączniku jest archiwum ZIP o nazwie [cyfry]·pdf.zip.

W środku archiwum znajduje się złośliwy plik z rozszerzeniem .VBE. To często używany przez przestępców format. Dlaczego? Ponieważ działa on pod każdym Windowsem a dodatkowo jego zawartość jest nieczytelna dla zwykłego "Kowalskiego".

Poniżej przykładowy plik VBS oraz jego wersja VBE, która wyświetla proste okienko:

VBScript (w skrócie VBS) to język skryptowy stworzony przez firmę Microsoft. Języki skryptowe mają to do siebie, że można zapoznać się z ich kodem źródłowym.

Jest to problematyczne bo osoba X może kupić program Y, sprawdzić jego kod a następnie wypuścić nowy produkt Z niskim nakładem pracy, po prostu kopiując jego kod.

Dlatego firma Microsoft stworzyła Script Encoder. Po jego użyciu kod programu zostaje "zaciemniony", a jego rozszerzenie zmienia się na VBE. Tak stworzonych plików rzekomo nikt nie mógł "odtworzyć". System Windows uruchamia je jednak bez problemów.

Bardzo szybko odtworzono algorytm używany w tym narzędziu. Obecnie każdy może odczytać zawartość plików VBE niskim nakładem pracy, stosując odpowiednie narzędzia.

Pliki z rozszerzeniem VBE są jednak popularne wśród twórców złośliwego oprogramowania. Bo gdy zwykły użytkownik spróbuje otworzyć je w notatniku, to zobaczy dziwne znaczki.

Istnieje więc szansa, że uruchomi taki załącznik, a tym samym zostanie zainfekowany.

Właśnie takie ciekawostki pokazuję na szkoleniu Cyfrowe Ataki.

Podsumowanie

  • Uważaj na załączniki z podwójnym rozszerzeniem. Na przykład .PDF.ZIP. To bardzo popularny schemat w złośliwych wiadomościach email.
  • Pliki z rozszerzeniem VBS i VBE mogą zawierać złośliwe oprogramowanie. Gdy klikniesz na nie dwa razy myszką ich zawartość zostanie automatycznie wykonana w systemie Windows. Może to doprowadzić do infekcji złośliwym oprogramowaniem.
  • Oficjalne faktury od firmy Orange są wysyłane z adresu [email protected].
  • E-faktury możesz również pobrać z serwisu Mój Orange.
  • Złośliwe wiadomości mogą zawierać niektóre Twoje dane - na przykład imię.
  • Podejrzane wiadomości email możesz zgłosić do CERT Polska.

#malware

Poprzedni post Następny post