Uwaga na fałszywe faktury od Orange

CERT Orange Polska ostrzega przed kolejną kampanią phishingową, w której atakujący wysyłają fałszywe faktury Orange.

W załączniku wiadomości znajduje się złośliwe oprogramowanie typu Remcos RAT, ukryte w pliku załączonym do wiadomości przypominającej fakturę.

Wiadomość wygląda na autentyczną, ponieważ zawiera prawdziwą fakturę, wykradzioną z konta jednego z klientów. Dane na dokumencie, po weryfikacji, okazują się zgodne z rzeczywistą fakturą Orange, dlatego wrażliwe informacje zostały zanonimizowane w publikowanej wersji.

Mimo że adres nadawcy pochodzi z domeny @pl.orange.com, która jest zabezpieczona protokołami DMARC, SPF i DKIM, mail dotarł do odbiorcy. Zabezpieczenia te muszą być również wdrożone po stronie serwera odbiorcy, by skutecznie zatrzymać taką wiadomość przed dostarczeniem.

Załącznik zawiera plik „FAKTURA-P-4526485-2742747722-00043067.pdf.zip”, a wewnątrz znajduje się skrypt VBS, który uruchamia PowerShella. Złośliwe oprogramowanie pobiera payload z Google Drive, a następnie wstrzykuje go do procesu systemowego WerFault.exe. Ostatecznym ładunkiem jest Remcos RAT, jedno z najczęściej spotykanych złośliwych programów w Polsce.

Zaleca się ostrożność przy otwieraniu podejrzanych wiadomości i korzystanie z aplikacji Mój Orange do realizacji płatności za usługi Orange Polska.

Szczegóły techniczne:

• Adres IP nadawcy: 193.222.96[.]136 (blogele[.]com), Bułgaria
• Plik w załączniku: FAKTURA-P-4526485-2742747722-00043067.pdf.zip, zawiera plik VBS
• Adres C2 (Command and Control): 355eed608bbd[.]duckdns.org, port 35285
• SHA256:
  • VBS: 6a2f42008025068bd6943e90e73f473de802e86f6fc5b33cc5958a5e28f9ec56
  • ZIP: 4aeb1e03da19a4fe8494ae59d603b7cadeb5282eb69c9ec2ed300473cc57dc36
  • Remcos: 02a29850e9c8de8d57a795b34077ca4740b54055138d3f5f04271b701fd378dc

Pamiętaj, aby zawsze sprawdzać autentyczność faktur i wiadomości, szczególnie gdy są one przesyłane za pomocą załączników.