11/7/19

MALSPAM KΑΜΠΑΝΙΑ ΣΤΟΧΕΥΕΙ (ΚΑΙ) ΕΛΛΗΝΙΚΑ EMAIL

-- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!


Οι επιτήδειοι γίνονται εξυπνότεροι, πιο ευέλικτοι και πιο πονηροί.

Μέχρι πρότινος, οι καμπάνιες malspam (καμπάνιες διασποράς κακόβουλων λογισμικών μέσω επισυναπτόμενων μολυσμένων αρχείων σε email) είχαν βασική γλώσσα τα αγγλικά. Μάλιστα, επειδή συνήθως οι χώρες προέλευσής τους δεν έχουν την αγγλική γλώσσα ως κύρια, ακόμα και σε αυτές τις περιπτώσεις υπήρχαν ασύντακτα και κακογραμμένα κείμενα.


Στη συνέχεια, προσπάθησαν να γίνουν πιο δημιουργικοί, χρησιμοποιώντας τη γλώσσα των χωρών που στόχευαν μέσω αυτόματων μεταφράσεων (πχ. Google Translate).


Ευτυχώς όμως, τα ελληνικά είναι δύσκολη γλώσσα και πολλές φορές ακόμα και η Google αποτυγχάνει επικά να μεταφράσει σωστά. Έτσι, όταν κάποιος λάβει ένα email σαν αυτό,


MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 1
MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 1


καταλαβαίνει ότι κάτι δεν πάει καλά όσο ανίδεος και αν είναι (ομολογούμε ότι λυγίσαμε με το Mercy Ndiany = Έλεος Ndiany).

Όμως οι κακοποιοί εξελίχθηκαν και πλέον τόσο τα ελληνικά τους είναι αρκετά πειστικά (σε κάποιες περιπτώσεις δεν εντοπίσαμε ούτε ένα συντακτικό λάθος), όσο και οι μέθοδοι spoof που χρησιμοποιούν, μπορούν να ξεγελάσουν ακόμα και έναν έμπειρο χρήστη.


Θυμηθείτε, ο σκοπός τους είναι να ανοίξετε το επισυναπτόμενο.



Αν λάβετε ένα επισυναπτόμενο με κατάληξη .zip από την... mercy ndiany δεν θα το ανοίξετε (ελπίζουμε, δηλαδή!!).

Αν όμως, σας έρθει ένα από τη Virginia Mir.... με email που παραπέμπει σε legit domain και τα ελληνικά είναι οριακά καλά?
MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 2
MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 2



Και πάλι, κάποιος έμπειρος χρήστης δεν θα την πατήσει, καθώς κάποιες λεπτομέρειες "φωνάζουν" (γιατί να είναι το κείμενο στα ελληνικά όταν η εταιρία από την οποία προέρχεται είναι του εξωτερικού, γιατί απευθύνεται σε undisclosed recipients, γιατί το απάντηση σε: είναι σε hotmail κ..ο.κ.). 




Στο επόμενο παράδειγμα που έχουμε, το έγκλημα είναι πολύ καλά οργανωμένο:


MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 3


Σε αυτήν την περίπτωση τα ελληνικά είναι σχετικά καλά, 


Έλεγχος παρακαλώ επισυνάπτεται, υπογράψτε και επιστρέψτε.

 το επισυναπτόμενο φαίνεται legit (ένα αρχείο word), ο τίτλος του email μια χαρά και ο αποστολέας φαίνεται να είναι κάποιος με λογαριασμό στην otenet.gr (!!).
Το μόνο που χτυπάει καμπανάκι είναι το undisclosed recipients.


Για την ιστορία, το εν λόγω επισυναπτόμενο ΠΕΡΑΣΕ τον έλεγχο του antivirus στον Η/Υ που ελέγχθηκε, και το επισυναπτόμενο .doc αρχείο κατεβάζει τον GlobeImposter 2.0 Ransomware.

Για το τέλος, έχουμε άλλο ένα παρόμοιο email το οποίο όμως "κόπηκε" από το antivirus του Η/Υ του πειράματός μας (περιείχε το AutoIT malware).


MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 4
MALSPAM KΑΜΠΑΝΙΑ σε ΕΛΛΗΝΙΚΑ EMAIL παραδειγμα 4



Μέτρια ελληνικά, undisclosed recipients και πάλι, spoof-αρισμένο το email κάποιας Μαρίας στην otenet.gr.

Φαίνεται legit. Αλλά δεν είναι.



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ MALSPAM KΑΜΠΑΝΙΑ ΣΤΟΧΕΥΕΙ (ΚΑΙ) ΕΛΛΗΝΙΚΑ EMAIL ...



Δεν ανοίγουμε επισυναπτόμενα από αποστολείς που δεν γνωρίζουμε. Ελέγχουμε το email που λάβαμε διεξοδικά και κοιτάμε για ατέλειες. 

Δεν ανοίγουμε αρχεία με περίεργες επεκτάσεις (.zip, .rar, .7z κλπ) και αν ανοίξουμε αρχεία office και μας ζητηθεί να ενεργοποιήσουμε τις μακροεντολές λέμε ΟΧΙ (εκτός αν ξέρουμε τι κάνουμε). 

Απενεργοποιούμε στα Windows την απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων. 
Δεν έχουμε Remote Desktop εκτεθιμένα στον έξω κόσμο για κανέναν λόγο.

Διαβάστε τον οδηγό επιβίωσης και εφαρμόστε τον!

Κρατάτε αντίγραφα ασφαλείας σε OFFLINE συσκευές!

Κάντε ενημερώσεις των συσκευών σας!

Μάλλιασε η γλώσσα μας!!



Dimitris Anderson
Ransomware Reverse Engineer
SSD Reverse Engineer