![Weekendowa Lektura: odcinek 615 [2025-03-16]. Bierzcie i czytajcie](https://zaufanatrzeciastrona.pl/wp-content/uploads/2024/02/library.jpg)
![Kandydat PiS czuje oddech Konfederacji na plecach. Mijanka coraz bliżej [SONDAŻ]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)
![Pancerna autonomia. Jak Polska może budować czołgi [ANALIZA]](https://cdn.defence24.pl/2023/09/04/1920x1080px/4ya3X4LjAlNwlhcKh3E1SgAZcOeZZuYaDsFsmxgq.czvw.jpg)
![Jesteś w ciąży? Nie bądź targetem! Jak zachować prywatność w sieci [poradnik]](https://panoptykon.org/sites/default/files/2025-03/poradnik_prywatnosc_ciaza_grafika_pdf.png)
Uwaga na fałszywe faktury od Orange
CERT Orange Polska ostrzega przed kolejną kampanią phishingową, w której atakujący wysyłają fałszywe faktury Orange. W załączniku wiadomości znajduje się złośliwe oprogramowanie typu Remcos RAT, ukryte w pliku załączonym do wiadomości przypominającej fakturę. Wiadomość wygląda na autentyczną, ponieważ zawiera prawdziwą fakturę, wykradzioną z konta jednego z klientów. Dane na dokumencie, po weryfikacji, okazują się zgodne z rzeczywistą fakturą Orange, dlatego wrażliwe informacje zostały zanonimizowane w publikowanej wersji. Mimo że adres nadawcy pochodzi z domeny @pl.orange.com, która jest zabezpieczona protokołami DMARC, SPF i DKIM, mail dotarł do odbiorcy. Zabezpieczenia te muszą być również wdrożone po stronie serwera odbiorcy, by skutecznie zatrzymać taką wiadomość przed dostarczeniem. Załącznik zawiera plik „FAKTURA-P-4526485-2742747722-00043067.pdf.zip”, a wewnątrz znajduje się skrypt VBS, który uruchamia PowerShella. Złośliwe oprogramowanie pobiera payload z Google Drive, a następnie wstrzykuje go do procesu systemowego WerFault.exe. Ostatecznym ładunkiem jest Remcos RAT, jedno z najczęściej spotykanych złośliwych programów w Polsce. Zaleca się ostrożność przy otwieraniu podejrzanych wiadomości i korzystanie z aplikacji Mój Orange do realizacji płatności za usługi Orange Polska. Szczegóły techniczne: Adres IP nadawcy: 193.222.96[.]136 (blogele[.]com), Bułgaria Plik w załączniku: FAKTURA-P-4526485-2742747722-00043067.pdf.zip, zawiera plik VBS Adres C2 (Command and Control): 355eed608bbd[.]duckdns.org, port 35285 SHA256: VBS: 6a2f42008025068bd6943e90e73f473de802e86f6fc5b33cc5958a5e28f9ec56 ZIP: 4aeb1e03da19a4fe8494ae59d603b7cadeb5282eb69c9ec2ed300473cc57dc36 Remcos: 02a29850e9c8de8d57a795b34077ca4740b54055138d3f5f04271b701fd378dc Pamiętaj, aby zawsze sprawdzać autentyczność faktur i wiadomości, szczególnie gdy są one przesyłane za pomocą załączników.
CERT Orange Polska ostrzega przed kolejną kampanią phishingową, w której atakujący wysyłają fałszywe faktury Orange.
W załączniku wiadomości znajduje się złośliwe oprogramowanie typu Remcos RAT, ukryte w pliku załączonym do wiadomości przypominającej fakturę.
Wiadomość wygląda na autentyczną, ponieważ zawiera prawdziwą fakturę, wykradzioną z konta jednego z klientów. Dane na dokumencie, po weryfikacji, okazują się zgodne z rzeczywistą fakturą Orange, dlatego wrażliwe informacje zostały zanonimizowane w publikowanej wersji.
Mimo że adres nadawcy pochodzi z domeny @pl.orange.com, która jest zabezpieczona protokołami DMARC, SPF i DKIM, mail dotarł do odbiorcy. Zabezpieczenia te muszą być również wdrożone po stronie serwera odbiorcy, by skutecznie zatrzymać taką wiadomość przed dostarczeniem.
Załącznik zawiera plik „FAKTURA-P-4526485-2742747722-00043067.pdf.zip”, a wewnątrz znajduje się skrypt VBS, który uruchamia PowerShella. Złośliwe oprogramowanie pobiera payload z Google Drive, a następnie wstrzykuje go do procesu systemowego WerFault.exe. Ostatecznym ładunkiem jest Remcos RAT, jedno z najczęściej spotykanych złośliwych programów w Polsce.
Zaleca się ostrożność przy otwieraniu podejrzanych wiadomości i korzystanie z aplikacji Mój Orange do realizacji płatności za usługi Orange Polska.
Szczegóły techniczne:
- Adres IP nadawcy: 193.222.96[.]136 (blogele[.]com), Bułgaria
- Plik w załączniku: FAKTURA-P-4526485-2742747722-00043067.pdf.zip, zawiera plik VBS
- Adres C2 (Command and Control): 355eed608bbd[.]duckdns.org, port 35285
- SHA256:
- VBS: 6a2f42008025068bd6943e90e73f473de802e86f6fc5b33cc5958a5e28f9ec56
- ZIP: 4aeb1e03da19a4fe8494ae59d603b7cadeb5282eb69c9ec2ed300473cc57dc36
- Remcos: 02a29850e9c8de8d57a795b34077ca4740b54055138d3f5f04271b701fd378dc
Pamiętaj, aby zawsze sprawdzać autentyczność faktur i wiadomości, szczególnie gdy są one przesyłane za pomocą załączników.
