Oszuści udają Urząd Skarbowy i rozsyłają malware. Celem ataków są firmy

Mało która instytucja tak stresuje Polaków, jak Urząd Skarbowy. Cyberprzestępcy wykorzystują ten fakt i podszywają się pod kontrolera US, który zapowiada się na kontrolę w firmach. W załączniku takiego e-maila znajduje się rzekomo archiwum z dokumentami, zawierającymi szkodliwy program infekujący komputer.

Wiadomość od rzekomego kontrolera o temacie „INFORMACJA O ZAMIARZE WSZCZĘCIA KONTROLI SKARBOWEJ” (pisownia oryginalna), wygląda dość klasycznie. Nadawcą jest Urząd Skarbowy, ale adres e-mail się nie zgadza: otelpokbysie@o2.pl – to prawdopodobnie jedna z wielu skrzynek założonych przez automat z losowo wygenerowaną nazwą użytkownika. Adresy urzędów skarbowych mają zwykle bardziej oficjalne domeny.

Powołując się na paragrafy Dziennika Ustaw, spamerzy zapowiadają kontrolę „Urzędu Skarbowego” w firmie, podają datę wizyty, a na koniec groźbę. Paragrafy zostały odpowiednio dobrane, więc sprawdzając ten trop, odbiorca e-maila może nie stwierdzić, że jest to fałszywa wiadomość. Kolejną wskazówką są błędy w samym tekście. Już pierwsze zdanie powinno byś wskazówką, że nie jest to formalne pismo od US, chyba że ktoś bardzo się spieszył i źle skleił treść innych wzorów wiadomości:

Pełna treść wiadomości została zaprezentowana poniżej. Znamienne jest, że wszyscy odbiorcy, o których wiemy, otrzymali e-mail z identycznymi datami i nazwiskiem rzekomego kontrolera z ramienia US.

Choć treść e-maili naszpikowana odniesieniami do paragrafów brzmi strasznie, malspamerzy nie postarali się, by spreparować tożsamość rzekomego kontrolera. W każdym województwie wiadomość podpisana jest przez tę samą osobę – mgr Mariana Jakubowskiego. W województwie lubelskim osoba o takim nazwisku nie pracuje w administracji skarbowej. Oszuści mają też wyraźne problemy z kalendarzem – już pod koniec lutego wiedzą, że w kwietniu nie dodzwonią się do kontrolowanych przedsiębiorców.

Można przypuszczać, że oszuści liczą na podatkowe zamieszanie w Polsce i nieuwagę potencjalnych ofiar, ale najprawdopodobniej poszli po linii najmniejszego oporu, skopiowali spam z 2016 roku i zmienili tylko część daty, pozostawiając resztę treści bez zmian. Wysyłka nowej kampanii malspamowej ruszyła 24 lutego wieczorem lub 25 lutego rano.

Oczywiście nie chodzi o treść e-maila, ale o załącznik. Choć w treści wiadomości wymieniony jest plik dokumenty.rar, załączone zostało archiwum dokumenty.tar. Co jest w środku, łatwo się domyślić. Na pewno nie są to prawdziwe dokumenty finansowe od urzędu skarbowego.

Po rozpakowaniu archiwum zobaczymy plik o nazwie dokumenty_100780911.vbs, zawierający szkodliwy skrypt VBScript. Malware po uruchomieniu próbuje łączyć się z portem 443, zwykle używanym przez protokół HTTPS, adresu 185.141.62.170. Na ten adres zarejestrowana jest domena colormessa.info, przez Chrome oznaczana jako niebezpieczna.

Po przejściu dalej zobaczymy prawdopodobnie podane czystym tekstem polecenie dla szkodliwego skryptu na bardzo prostej stronie. Wygląda na to, że malware ma pozostać w uśpieniu przez dłuższy czas. Na szczęście popularne antywirusy już wykrywają to zagrożenie.

WScript.Sleep 7000

Pod wskazanym adresem nie działa żadna konkretna strona. Przywita nas jedynie strona testowa serwera nginx, działającego na Fedorze. Domena została zarejestrowana 22 lutego przez NameCheap, Inc. Adres IP wskazuje na stolicę Bułgarii.

Czas podatkowego zamieszania w Polsce stwarza wiele możliwości dla oszustów. Niemal natychmiast po uruchomieniu systemu e-PIT, Ministerstwo Finansów ostrzega nie tylko przed opisaną wyżej kampanią „na kontrolera”. Wcześniej pojawiła się kampania atakująca osoby składające PIT. Oszuści rozsyłali fałszywe informacje o błędzie w deklaracji podatkowej, a w załączniku znajdował się szkodliwy program, udający dokumenty.

Oszuści stosują też inne ścieżki. Podobnie jak wyłudzenie „na wnuczka”, działa oszustwo „na pracownika US”, który pomoże wypełnić zeznanie podatkowe. Urzędy skarbowe nie świadczą takich usług, a wpuszczanie oszustów do domu jest bardzo niebezpieczne.