![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
Uppdaterad: Phishing-mejl ser ut att komma från PostNord AB
Uppdaterad 151001: Uppdaterad med DNS-namn på de senaste tre dagarnas C&C-servrar.
Uppdaterad 150924: Enligt uppgifter inkomna till CERT-SE så har en ny våg phishing-mejl skickats ut. Nya IOCer läggs till löpande nedan. Just nu en phishing-kampanj riktad mot bland annat svenska och danska[3] mottagare, där företaget PostNord uppges vara avsändare.
Mottagare uppmanas att klicka på en länk i meddelandet. Länken leder till en sida på vilken besökaren, efter att ha fyllt i en "captcha" får en fil nedladdad och uppmanas att köra filen. Om filen exekverar och rätt förutsättningar finns, så kan datorn infekteras av skadlig kod. I flera rapporterade fall är det "ransomware"[1] som installeras.
Nedan finns ett antal IOCer (indicators of compromise) som kan användas för att identifiera infekterade datorer. Nedan information är bara förekomna exempel och namn m.m kan komma att variera:
Mail från:
@telecomitaliaq[.]org
@telecomitaliaq[.]net
@italiatelecom2[.]com
@telecomitaliam[.]org
@telecomitaliaq[.]org
Subject:
PostNord - Frakt Anmälan,Försändelse-id:CTxxxxxxxxxx
Mejlen innehåller en länk där mottagarens e-postadress finns med i länken. Avidentifierat exempel:
http://
Namn på filen som hämtas (checksumman varierar)
Forsandelse.zip (innehåller Forsandelse.exe, maskerad som ett PDF-dokument)
Filen har bland annat hämtats från:
postnordsverige[.]com
postnord-sverige[.]com
postdanmark-portal[.]com
downloader.disk.yandex[.]com
postnordsverige24[.]com
postnordsverige24[.]net
pogodo72[.]com
becker-tm[.]com
miosag[.]ru
judovideo[.]tv
chay[.]msk[.]ru
sbpstatus[.]com
brandforrent[.]ru
oooslem[.]ru
alt-masters[.]ru
cmbshop[.]ru
ka19[.]ru
mafmarket[.]ru
xn--52-6kcik2cmb7a[.]xn
ttplayspb[.]com
auto-shake[.]com
oporterc[.]com
Namnuppslag har bland annat gjorts för:
koxkdocvhh[.]com
oroxwey[.]com
ejkoesc[.]net
mqweodhy[.]com
sync.security.pp.regruhosting[.]ru
melcrb[.]ru
damaskstudio[.]ru
serebryanii[.]ru
narus-med[.]ru
marykaykrasnodar[.]ru
oporterc[.]com
erovhovher[.]net
oxoeweox[.]com
posoplexor[.]net
focxorpx[.]net
soxepoxw[.]com
opuytweyu[.]net
polioyewe[.]com
iohwoxyer[.]com
kehopoxwet[.]net
pojdfrlhe[.]com
etojuyxke[.]com
IP-nummer involverade:
109[.]120[.]155[.]159
37[.]140[.]192[.]174
194[.]28[.]174[.]196
78[.]108[.]80[.]119
77[.]88[.]21[.]127
5[.]8[.]62[.]90
Vi uppdaterar listan med IOCer när vi får kännedom om fler.
PostNord har själva gått ut med en varning[2] och flera nyhetsmedier har skrivit om händelsen.
[1] https://www.cert.se/2015/03/kort-om-ransomware
[2] http://www.postnord.se/sv/Sidor/viktig-information-3.aspx
[3] https://www.csis.dk/da/csis/news/4726/