Поштові розсилання з збором облікових записів користувачів

My alt text

Повідомляємо, що останнім часом почастішали випадки розсилання шкідливих електронних листів phishing, що містять вкладення таких видів:
  PDF-ДОКУМЕНТ, що в свою чергу містить активне посилання на ресурс, де нібито Вам пропонують переглянути документ, але для цього потрібно ввести
- e-mail та пароль (тим самим проводиться збір облікових даних).
  HTML-сторінку, що нібито дозволить після авторизації (форма для введення облікових даних), переглянути pdf-документ, а насправді відбувається збір та  пересилання цих даних на зловмисні ресурси.

Подібні листи легко обминають системи захисту організації, оскільки не містять явних шкідливих ознак.
Рівень загрози: СЕРЕДНІЙ

Зразки електроних повідомлень:

My alt text
My alt text

 

 

Детальний опис:

Поштовий лист  –> PDF –> URL –>  login form –> Phishing

My alt text

My alt text

Поштовий лист  –> HTML –> URL –>  login form –> Phishing

HTML- сторінка містить кодований вміст, після запуску за допомогою методу unescape(str) декодується шляхом заміни 16-річної послідовності симоволів на еквівалентні символи із кодіровки ASCIIMy alt text

Індикатори кіберзагроз: 

IP адреса із якої  проходить розсилання:
103.192.156.6
212.52.131.4
213.139.0.17

HTTP/HTTPS requests
url     hxxp://docusignhe.gq/verification/adobe/
url     hxxp://up14.hx7.ru/
url    hxxp://nmbdirect.sharepoint.megadoot.com/Adobe/data.php

ATTACHED FILE.html  
Filetype HTML document, ASCII text, with very long lines
Mimetype text/html
MD5 021f19be1e1f3dee271cfd734dd302a6


ipsoroka.pdf  
Filetype  PDF document, version 1.6
Mimetype  application/pdf
MD5  fe92bc74719865e54856e688c13eea56

PO Order SV MATERIAL-REQUIREMENTS.pdf  
Filetype  PDF document, version 1.6
Mimetype  application/pdf
MD5  5d49014e4166098a852d4d15e7ec38b4