![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
Uppdaterad: Ny våg av phishing-mail i PostNords namn
Uppdaterad 151022 med fler länkar från phishing-mailen.
Ytterligare en våg av phishing-mail där PostNord påstås vara avsändaren har nått svenska maillådor.
I september[1] var det många som drabbades av phishing-mail som ledde till "ransomware"[2]. Nu skickas återigen mail till svenska mottagare i samma syfte. Även denna gång är det PostNord som är påstådd avsändare. PostNord har liksom i september gått ut med en varning[3].
Tillvägagångssättet är det samma som i september där mottagaren uppmanas att klicka på en länk som leder till en sida där besökaren fyller i en "captcha", varpå en fil laddas ner som användaren uppmanas att köra.
Följande IOCer (indicators of compromise) har hittills identifierats i denna kampanj, vi uppdaterar som vanligt listan när vi får kännedom om fler.
Filer:
54dc5b8d8c6adb1010ef21038956f2aa leverans.exe
fbe08f7ae339f9c86a4955b3b34e53b7 leverans.zip
da1bb0b31780c237cd22bf956d85b85a leverans.exe
20f1d273b1b049f6873df5ef6d793135 leverans.zip
d723ccb08ecedc9cd7fa9e55ff04e7f5 leverans.exe
cecef1f902adb8f165c31d1bd9099721 leverans.zip
b36575df39369606339a991e1cea9410 leverans.exe
33e0052358f213577eb773935b7b4f8e leverans.zip
Länkar:
http://sunglassez[.]ru/resize/dCp9ye.php
http://azklimatex[.]az/js/sRcOKEo.php?id=dummy@mail.com
http://irencollage[.]com/other/mMSXUR.php?id=
http://safonovo.smolkirpich[.]ru/img/6GiQjpcMredLk9C.php?id=
http://belbazaar[.]ru/components/51Kj3VUXR2S.php?id=
http://russia2all[.]ru/cache/d20qhGETtO3YpxA.php?id=
http://domrb[.]ru/p4Yyfmkvsba72.php?id=
http://australiavsfijilivestreaming[.]com/G2FMgth6QP.php?id=
http://assenterra[.]com/QpRmwMgzBn.php?id=
http://hotelbartar[.]com/modules/mod_ariimageslider/FD9sh3g.php?id=
http://sanjogshadi[.]com/SpmWjJ3HLClxPoM.php?id=
http://rotuloskamaleon[.]com/wp-content/themes/twentythirteen/ZjOvh1IPGzewRr.php?id=
http://designsa[.]ru
http://rscstructural[.]com/G4pBS8o7zIJ.php?id=
http://svetofor42[.]ru/templates/beez3/D6MGtqU8xfb.html
http://fuckgo[.]ru/wp-content/themes/twentythirteen/I57QDkbJ1l6dH.php?
http://walesvsuruguaylivestreaming[.]com
http://packersvsbearslivestream[.]net
http://ski.sunrise-tour[.]ru/banners/kOtaXTs.php?id=
http://vikupim-bistro[.]ru/wp-content/themes/twentythirteen/DNpMIVQ46wkROS=G.php?id=
http://mesinalkali[.]com/wp-content/themes/twentythirteen/ydljG7EbC0S.php?id=
http://webdesignrefresh[.]com/m8W7Edej/Wj5TQFRc.php?id=
Filen har hämtats från:
downloader.disk.yandex[.]com
Mail från:
@newsobtain[.]com
@newscastmail[.]com
@problemmail[.]com
@newsgiveout[.]com
Mailservrar involverade:
95.213.137[.]243
95.213.137[.]242
95.213.137[.]245
95.213.137[.]244
95.213.209[.]235
78.108.90[.]217
51.254.188[.]54
C&C domäner:
uqkyrqlo[.]com
bodzlwsey[.]com
pohgixaiqn[.]com
poytwoetxxoe[.]com
postoyter[.]com
kyujwcwef[.]com
bexonpx[.]com
zwiucmv[.]com
C&C ip:
62.213.67[.]209
31.41.44[.]2
[1] https://www.cert.se/2015/09/phishing-mejl-ser-ut-att-komma-fran-postnord-ab
[2] https://www.cert.se/2015/09/ransomware-och-phishing-mail
[3] http://www.postnord.se/sv/Sidor/viktig-information-3.aspx