Grupa fiat126pteam wciąż aktywna. Nasilają się ataki na polskie firmy
Przed kilkoma dniami Zaufanej Trzeciej Strony, która nie tylko ujawniła nowe fakty, ale także ostrzega przed eskalacją problemu.
Poprzedni atak rozpoczynał się od wysłania do kancelarii wiarygodnie prezentującego się maila, w którym osoba podająca się za przedstawiciela firmy spedycyjnej przedstawiała ofertę współpracy. Po pierwszej wymianie wiadomości, atakujący wysyłał kancelarii link, który miał zawierać szkic umowy. Po jego kliknięciu wyświetlała się strona imitująca otwierany w przeglądarce za pomocą wtyczki Microsoft Office plik DOC. Wczytywanie kończyło się jednak błędem, a po kliknięciu przycisku „napraw” rozpoczynało się pobieranie pliku WcPlugin.exe z domeny update.microsoftcenter.eu. Zawierał on szkodliwe oprogramowanie SmokeLoader.
Po tym jak sprawę zbadała Zaufana Trzecia Strona, na serwerach wykorzystywanych przez atakujących pojawiły się komunikaty adresowane do badającego atak redaktora. Stwierdzały one między innymi, że zmarnowane zostały tygodnie pracy oraz skromne stwierdzenie, że atak nie był aż tak wyrafinowany, jak zostało to opisane. Istotniejsza jest jednak deklaracja zwiększenia liczby ataków. Tym bardziej, że do eskalacji ataku rzeczywiście dochodzi.
Jak informuje Zaufana Trzecia Strona, nowa fala ataków stoi na równie wysokim poziomie dbałości o szczegóły, co pierwsza. Znów zatem uruchomiono dopracowaną fałszywą stronę firmy. Niemniej, zapewne w oczekiwaniu lepszej skuteczności, skrócono cały przebieg ataku i link do pliku DOC jest zawarty już w mailu inicjującym kontakt.
Dalej sytuacja prezentuje się podobnie. Atakujący zmienili przycisk „napraw” na „aktualizuj”, inny jest także numer błędu wyświetlany przez stronę podającą się za podgląd dokumentu. Ponadto strona główna wyświetlana pod adresem domeny imituje oficjalny serwis Microsoftu. Niemniej w przypadku adresu, który prowadzi do pliku DOC, główna strona wyświetla tylko rosyjskie powitanie privet.Zaufana Trzecia Strona nie ma wątpliwości, że za nowe ataki jest również odpowiedzialna grupa fiat126pteam. Analiza wskazuje ponadto, że pomiędzy firmami, które stały się celem ataku dochodziło do wymiany korespondencji, niewykluczone zatem, że hakerzy uzyskali dostęp do części danych przechowywanych na firmowych komputerach. Zalecamy zatem zachowanie szczególnej ostrożności i czujności podczas przeglądania korespondencji.
