Często podróżujesz? Uważaj na fałszywe faktury od WizzAir

Dla cyberprzestepców każdy sposób na wyłudzenie pieniędzy czy danych wrażliwych jest dobry, jeśli tylko jest skuteczny. Tym razem na tapetę zostali wzięci wszyscy chętnie korzystający z usług linii lotniczych WizzAir. Nowa kampania pod koniec roku zebrała swoje żniwo.

Fałszywa faktura w skrzynce

W nocy zaczęły s krzynkach mailowych pojawiać się wiadomości z załącznikiem zawierającym złośliwe oprogramowanie, szyfrującym dane na komputerze. Co śmieszniejsze, w pierwszej fali ataków cybeprzestępca się pomylił i załączony plik zwyczajnie nie działał. W drugiej turze jednak swój błąd naprawił i wszystko działało, jak – w jego mniemaniu – działać powinno.

Na jakie pliki trzeba uważać?

Do skrzynek masowo zaczęły trafiać informacje o zarezerwowaniu biletu na podróż za pomocą linii lotniczych WizzAir. Oczywiście w treści maila można było znaleźć standardowe podziękowanie za skorzystanie z usług właśnie tej linii lotniczej, a następnie wskazywana była konieczność opłacenia rezerwacji zgodnie z regulaminem działania linii. Jeśli akurat ofiara gdzieś się wybierała za pomocą WizzAir lub gdy zwyczajnie obawiała się jakiejś mocno niefortunnej pomyłki, otwierała  załącznik, żeby przyjrzeć się problemowi bliżej. W pierwszej wersji wysyłanych wiadomości załącznik wyglądał w ten sposób: „Wizzair 30-12-2017.docx”, a po otwarciu można było zobaczyć komunikat, że format załącznika nie jest obsługiwany przez Microsoft Word. Po kliknięciu plik miał rozszerzenie .svg. Pomyłka polegała na tym, że na komputerze sprawcy zabrakło pliku o takiej nazwie i rozszerzeniu, dlatego wirus zwyczajnie nie działał.

Druga wersja, poprawiona

W drugiej wersji wysyłanych maili można było znaleźć identyczną wiadomość tekstowa, jednak plik miał już nazwę „wizzair 30-12-2017 doc.z”. Faktycznie plik o tym rozszerzeniu odwoływał się do archiwum RAR, w którym znajdował się skrypt, mający za zadanie wykonywanie poleceń PowerShella. Druga wersja załącznika uruchamiała plik http ://forum-windows.eu/js/fullhd.exe, znany doskonale jako szyfrująca strona Flotera, powszechnie stosowanego złośliwego oprogramowania ransomware.

Na co zwracać uwagę?

Przede wszystkim jeśli znajdziesz w swojej skrzynce tego rodzaju wiadomość, sprawdź adres serwera, z jakiego pochodzi mail. Złośliwe oprogramowanie było rozsyłane z serwera alz146.rev.netart.pl ([85.128.182.146]). Przestępca podszywa się pod domeny: forum-windows.eu (193.70.72.160) oraz edynamic-dns,pl  (216.144.236.34).