Pierwsze informacje na temat podejrzanych wiadomości z eFakturami od PGE dostałem od moich znajomych/klientów chyba 1 czerwca, ale w tamtym urlopowym okresie raczej interesował mnie hamak, chłodne… mleko, i moje psy (choć to raczej niezmienne) niż tworzenie nowych wpisów, więc tylko poprosiłem o przesłanie kopii, oraz nieklikanie w żadne odnośniki i/lub otwieranie załączników, które znajdują się w wiadomości (zresztą jest to standardowa procedura, którą zawsze powtarzam).

PGE (fałszywa) eFaktura za energię elektryczną

Pewnie o tym temacie bym nic nie pisał – w końcu minęło kilka urlopowych dni, ale cały czas cały czas otrzymuje nowe zapytania czy – co cieszy – wiadomości z informacją, że przesyłają mi kopie lewizny do analizy… ;-)

W związku z tym postanowiłem jednak poświęcić temu tematowi wpis, bo być może jeszcze znajdą się również wśród Was zainteresowani tematem.

Wiadomość e-mail

Wszystko zaczyna się dość klasycznie LINK – od wiadomości e-mail, która udaje wiadomość z PGE (Polska Grupa Energetyczna), choć już po adresie nadawcy widać, że coś tu jest nie tak:

Od: PGE eBOK <muhasebe@pekper*****vata.com.tr>
Temat: Faktura za energie elektryczna 9073652814

Dalej – w treści – jest trochę lepiej, ale od razu rzuca się w oczy brak polskich znaków diakrytycznych, choć dość wysoka kwota faktury i relatywnie krótki termin do zapłaty może uśpić czujność:

spam_falszywa-faktura-peg_20160601_email

PGE eFaktura za energię elektryczną 9073652814

Należnośc za okres od 12/03/2016 do 04/06/2016
IDENTYFIKATOR KLIENTA:0178520076 PDE: PLENED42043295394464
FAKTURA VAT NR 3204633221/2016 KOPIA z dnia 01/06/2016

Należność do zapłaty 1.195,29 zł
Termin płatności 06/06/2016

Oprócz tego mam 2 przyciski/linki, które kierują do tego samego miejsca:

http://labatontennis(kropeczka)ru/4XfHsqcCov1Y/[email protected]&num=fikcyjny-nr-klienta

WWW, czyli pobierz szkodnika

Docelowa strona internetowa (WWW) nie licząc nieścisłości związanych z nazwą domeny (ebok-pge34 (.) org) wygląda dość wiarygodnie:

spam_falszywa-faktura-peg_20160601_www

Plik JavaScript zamiast PDFa

Po przepisaniu kodu CAPTCHA następuje pobranie pliku Faktura_PGE.zip, w którym znajduje się plik Faktura_PGE.js, który – przynajmniej w pierwszej fazie ataku – odpowiada za zainfekowanie naszego systemu.

Oczywiście plik Faktura_PGE.js jest odpowiednio zaciemniony, tak by z jego zawartości niekoniecznie wynikało to, co się stanie po jego uruchomieniu.

Choć jestem trochę zaskoczony, że tak naprawdę typ pliku został podany na tacy, i nikt nawet nie bawił się w „.pif”, czy też „U+202e”.

Antywirusy dalej w ciemnej… nocy

I mimo, że dziś 8 czerwca, a więc od pojawienia się pierwszych wiadomości tego typu minął tydzień, to wygląda na to, że antywirusy dalej sobie nie radzą z prawidłowym rozpoznaniem zagrożenia (może to wynikać z kwestii dynamicznego generowania pliku JS, maskowania i szyfrowania zawartości/kodu).

I tak plik Faktura_PGE.js wg serwisu VirusTotal rozpoznają tylko 3 programy z 55:

spam_falszywa-faktura-peg_20160601_virustotal02

  • Arcabit: HEUR.JS.Trojan.ba
  • Fortinet: JS/Nemucod.ADK!tr
  • Rising: Downloader.Nemucod!8.34-VjlGMu3ehEP (Cloud)
SHA256: ae814e5c34bf7dc9575a5a058523e14cd2ff846191ecb74e4f94d872d01c6130
Nazwa pliku: Faktura_PGE.js
Współczynnik wykrycia: 3 / 56
Data analizy: 2016-06-08 14:15:52 UTC

MD5 99185cd82541f4b4ab8deded22f37114
SHA1 d8287df49f7827a447168747f80cfb26c0a47dc0
SHA256 ae814e5c34bf7dc9575a5a058523e14cd2ff846191ecb74e4f94d872d01c6130
ssdeep96:B+1he8nJwx6o0jH3LBil3V5hTTUPJWYxBnBgMG7dATEC8YUX:BAe8nJ3jD3qhyJ9xrPG72TE5X

First submission 2016-06-08 13:14:34 UTC ( 1 godzina, 7 minut temu )
Last submission 2016-06-08 14:15:52 UTC ( 6 minut temu )
Nazwy plików ENDESA_FACTURA.js Faktura_PGE.js

 

W przypadku pliku Faktura_PGE.zip jest tylko odrobinę lepiej, bo tu problem zgłasza już 7 programów:

spam_falszywa-faktura-peg_20160601_virustotal01

  • Arcabit: HEUR.JS.Trojan.ba
  • Fortinet: JS/Nemucod.ADK!tr
  • K7AntiVirus: Trojan ( 004dfe6d1 )
  • K7GW: Trojan ( 004dfe6d1 )
  • Kaspersky: HEUR:Trojan-Downloader.Script.Generic
  • Rising: Downloader.Nemucod!8.34-VjlGMu3ehEP (Cloud)
  • Sophos: Mal/DrodZp-A
SHA256: 058c377411c402159335b9f49b96bf26153e828bed1f12b09d6aaff6217e6931
Nazwa pliku: Faktura_PGE.zip
Współczynnik wykrycia: 7 / 56
Data analizy: 2016-06-08 14:18:51 UTC ( 1 minuta temu )

MD5 8f06cb777e6be974f8255bfb2c19efa8
SHA1 931eb2c9bb6eef487cd394efd9294c76d735783e
SHA256 058c377411c402159335b9f49b96bf26153e828bed1f12b09d6aaff6217e6931
ssdeep48:9ngvwl1iFXDt70VNhwnQ5YXzbbA6DRwBS130cyXIm:KNTt70VNyhbbA6lLyXd

First submission 2016-06-08 14:18:51 UTC ( 3 minuty temu )
Last submission 2016-06-08 14:18:51 UTC ( 3 minuty temu )
Nazwy plików Faktura_PGE.zip

 

Co ciekawe – w żadnym z plików nie wykrywa zagrożenia Dr Web, a gdzieś mi się chyba obiło, że aktualnie oni jako jedyni oferują „alternatywne odszyfrowanie plików”…

Zaszyfrowane pliki

Niestety aktualnie z maszyn testowych dysponuje tylko Windows 10 x64, i na tym systemie szkodnik nie chce zadziałać (kolejny powód, by zaktualizować system ;-)), a na żadnym z komputerów „głównych” tego typu rozwiązań nie testuje, nawet pomimo posiadania kopii zapasowej systemu i najważniejszych plików.

Ale od znajomego wiem, że u niego w firmie efektem są zaszyfrowane wszystkie pliki na komputerze na którym został aktywowany szkodnik, oraz na dyskach sieciowych dostępnych z tego komputera.

Z informacji dostępnych m.in. w serwisie Bleeping Computer wynika, że być może ekipa z Dr Web jest w stanie odszyfrować pliki – jakieś 150 € + VAT (bezpłatnie dla osób, które miały aktywną licencję na ich oprogramowanie w momencie ataku).

Ale z racji tego, że wiele szkodników działa w podobny sposób (często modyfikuje się np. algorytm szyfrujący i ponownie zaszyfruje/spakuje by oszukać antywirusy, i uniemożliwić odszyfrowanie plików bez zapłacenia „okupu”), a nawet nazywa się dość podobnie warto dokładnie to zweryfikować – z tego co wiem, to przed wystawieniem faktury/rachunku ekipa z Dr Web prosi o kilka plików w celu sprawdzenia, czy faktycznie są w stanie odszyfrować dane.

Poszukaj wśród znajomych

Z racji tego, że ekipa z Dr Web informuje, że możliwe jest bezpłatne odszyfrowanie plików dla osób które miały aktywną licencje na ich oprogramowanie w momencie ataku (nie liczą się licencje zakupione po, ale przed) warto poszukać wśród znajomych, czy ktoś nie ma akurat takiej licencji na ich oprogramowanie i nie mógłby wystąpić z prośbą o pomoc „w Waszym imieniu”.

Zakładam, że w tej sytuacji można również spodziewać się wysypu ofert (od)sprzedaży „po okazyjnej cenie” licencji na ich oprogramowanie… ;-)

Komunikat na stronie PGE

Na stronie PGE pojawił się komunikat z ostrzeżeniem o ataku:

PGE ostrzega: wiadomość e-mail z tytułem „eFaktura za energię elektryczną” może zawierać groźnego wirusa

Na skrzynki e-mailowe klientów PGE w całym kraju trafiają wiadomości zatytułowane „eFaktura za energię elektryczną (numer faktury)”. W wiadomości pojawia się informacja, że jest to eFaktura wystawiona przez PGE Polską Grupę Energetyczną. Informujemy, że PGE nie jest nadawcą tych wiadomości, a fałszywy e-mail może stanowić zagrożenie niebezpiecznym wirusem typu „trojan”. Więcej informacji znajduje się na naszej stronie www.pge-obrot.pl. W przypadku otrzymania niebezpiecznej wiadomości prosimy o kontakt z naszym konsultantem pod numerem telefonu 422 222 298.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk