![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
Bluffmejl med Telia som avsändare
Det florerar för närvarande bluffmejl som ser ut att komma från Telia. Dessa används för att sprida skadlig kod av typen ransomware som krypterar filer på offrets dator.
De är utformade som fakturamejl från Telia och innehåller en länk som leder till en phishingsida. På sidan, som efterliknar en webbsida från Telia, uppmanas man att skriva in en "captcha"-kod och för att hämta ner sin faktura. Filen som laddas ner är en ZIP-fil med ett skadligt JavaScript. Om ZIP-filen packas upp och skriptet tillåts köras så hämtas ett ransomware ner som krypterar filer på den smittade datorn.
Exempel på länkar i bluffmejlet:
hxxp://srbfb[.]se/wRkyBIqU/2lqnR746.php?id
hxxp://forumscene[.]no/KRCbk/hc43LMbI.php?id
hxxp://anchoragechamber[.]org/VH4McNl/kgjJOQ.php?id
hxxp://am-rosenbusch[.]de/2I7OFhQb0Ci/YND4VmL.php?id
hxxp://bluecrabcharters[.]com.au/1yaI3zFtWAOb/sD5TRZz.php?id
hxxp://ccpcompositesus[.]com/65fSgVLe/nc4NAI3J7Yzs.php?id
hxxp://civradio[.]com/WojFQ/T6e8tWIuzE.php?id
hxxp://consultoresre[.]com/u24wDO5ytck/tNp0ZDa.php?id
hxxp://coopsandthebird[.]com/QXevGNZo7U/D9NYpShGljmI7cf.php?id
hxxp://damoon-pey[.]com/y21DUg6TdzHC/qO3Lu20KMI95HVSa.php?id
hxxp://der-holzladen[.]net/jfcxsvaRBA/xVWMciOPD90l2L.php?id
hxxp://dgsg[.]be/nsOhjHYmLP2/IWrVqUOnwPH.php?id
hxxp://euroindy[.]com/Qrw6XJW24FOz/IHw426.php?id
hxxp://fmhostel[.]com/xgeYiqXQP/tTh2aukLQvl.php?id
hxxp://gotisk[.]dk/yYeCjNQVucH/SnKBs74QwhxL9rq.php?id
hxxp://granfondosangottardo[.]com/KigcDotpqyIz/olay23u.php?id
hxxp://hotel-skorzecin[.]pl/YvpmCiDx/xkSfz81qh0TmB3KD.php?id
hxxp://kid-guru[.]ru/59VKfUEDj/LhqUsBRMdyge7lT.php?id
hxxp://kierwright[.]com/jZqwaM7p3E/B3Ld1DARh02xCHtU.php?id
hxxp://kunststoff-design[.]ch/2M1z3TGmkN/CEbYFXt.php?id
hxxp://kvadro93[.]ru/GBM6jcUEqXf/32ieWvaOAlkJr.php?id
hxxp://kyovaevents[.]com/hSCDtH/NFQm4ZEUB.php?id
hxxp://michaelphelps[.]com/5s3hdgu1rkT/FfTzUL.php?id
hxxp://minovit[.]com/8FCfqE0T/mbSkq2a3Z5Bd1.php?id
hxxp://oshma[.]com.ar/AJokbOwEPYKv/q5JZMsbG8CF.php?id
hxxp://pasja[.]org/Ckrq2Fw8/3Azoayeh.php?id
hxxp://pregnancy[.]by/HSqgLD0EAhR/HTt43Li.php?id
hxxp://rosemariefrey[.]de/1yn9SJb/sHthxLqb9z1nB6.php?id
hxxp://rssteel[.]com.br/XdfPq8KZb/hTAKmuX97xvaM6V.php?id
hxxp://sahovskisavezinvalidars[.]org/WDyg0q12G/FYGzkbKg5ynXIoU.php?id
hxxp://screammagazine[.]com/8TynwO/R4HmJ1iwVo.php?id
hxxp://scriptgui[.]info/NjkvegE5/MjayCY0xBX.php?id
hxxp://techproekt[.]com/W3hT7Yt84/KBAXztJRc6.php?id
hxxp://thewoodlandsdatarecovery[.]com/cu3A7vVC/k4vwF7S1M9A.php?id
hxxp://tugrupoamigo[.]com/4D8u9eSZR/dMyh4AU1.php?id
hxxp://vboc[.]be/LqfUR/8EhNWcpkqVaC.php?id
hxxp://verola[.]be/HhdVlXQAj/9OXFH0ktj.php?id
hxxp://wa1mortgage[.]com/wkR7Hlo/XEVyMRUZbvOem4K.php?id
hxxp://weblogics[.]nl/Eo5t0iT/NU5vSCmqW8K0.php?id
hxxp://welington[.]info/x9jtQ/yqL1X0CtG.php?id
hxxp://xn--b1afiai2adh9d[.]xn--p1ai/Gqikp/jpbqUSsFvGa.php?id
Exempel på URL:ar till phishing-sidan:
hxxp://wzw.getyourbillsinfo24[.]org/qnzvdmh7.php
hxxp://oxz.faktura-viewer[.]org/qyi78.php
hxxp://mqpx.faktura-viewer.org/ozzp2.php?id
hxxp://qclw.faktura-viewer.org/mtlwit.php?id
hxxp://qo6.mobilebillviewer.net
hxxp://c52.teliabills.com/
hxxp://c3bg.getyourbillsinfo24.org
Webbplatser som serverar den skadliga koden:
tendearteplast[.]com/1.exe
gettingmarried[.]ie/1.exe
ideamix-yar[.]ru/1.exe
blackstonefx[.]com/1.exe
Signaturer (MD5) för den skadliga binären 1.exe:
ac69a9015d68a23b275e255f4a69ba13
5febbd07f2d04d79c13eec2aeb219322