Régebben eseményszámba ment, ha valódi magyar, vagy csak "hunglish" nyelvű spam érkezett a postafiókunkba. A Fülig Jimmy-s és Tuskó Hopkins-os fogalmazásoknak már lassan tényleg vége, ám furcsa próbálkozások azért néha még most is felbukkannak.
Egy új átverés szerint rendelnének tőlünk, erről maga Borodi Bence, beszerzési igazgató tájékoztat egy kéretlen e-mailben, remek hír, jaj de jó. Ráadásul úgy tűnik volt neki gyerekszobája, és nem a ló nézett be rajta, mert elsőként köszön, sőt még a családunk egészsége felől is illendően tudakozódik. Saját magával kapcsolatban azonban már eléggé szűkszavú, például azt sem tudjuk meg, pontosan melyik cégtől is keres bennünket. Hogy mit is rendelnének, azt is homály fedi.
Bár a feladó címe "kitap KUKAC yagmurkitapkirtasiye PONT com", de az e-mail trace szerint a németországi Falkensteinből írtak nekünk. A feladó domain adatai viszont ezzel szemben egyértelműen Törökországra utalnak. Azért a rend kedvéért azt is vegyük észre, hogy nem mi vagyunk itt a mélyen tisztelt és nagyra becsült egyedüli címzettek, hanem sima körlevélként az "undisclosed-recipients:;" szerepel, vagyis ez egy tömegesen terjesztett spam kampány részének látszik.
A levél teljes szövege a következő:
"Jó reggelt kívánok,
Remélem, hogy Ön és családja jó egészségnek örvend ebben a megpróbáltatásban.
Kérjük, olvassa el a csatolt dokumentumot, amely leírja az első vásárlást a cégtől, és visszaküldendő levélben adja meg a legjobb árajánlatot, a fizetési feltételeket és az áruk legkorábbi szállítási határidejét a megadott módon.
Várjuk gyors válaszát, mivel hosszú üzleti kapcsolatra számítunk.
Üdvözlettel,
Borodi Bence
Beszerzési igazgató"
Szép alliteráció: Borodi Bence Beszerzési. A melléklet viszont, ami a képernyőképen hamisan PDF-nek, azaz hordozható dokumentum formátumnak van ábrázolva, nem valós információ, ugyanis az valójában a "Rendelés.tgz" fájlra mutat egy valószínűleg feltört OneDrive fiókban.
Ebben pedig egy szintén ékezetes nevű "Rendelés.exe" bontható ki. Na és vajon mit küldött ebben nekünk az állítólagos török-német nagyságos igazgató úr? Hát nem árajánlat kérést, annyi biztos, ez itt már a spoiler helye.
Ha feltoljuk ezt a Windows alatti futtatható .exe állományt a VirusTotal oldalra, akkor már látható, hogy egy trójai letöltő kártevőt próbáltak meg ránk sózni. A ma reggeli állapot szerint egyelőre csak 12 AV motor detektálta a kártékony kódot.
Az eredete talán az lehet, hogy egy angol nyelvű, vállalkozásokat segítő legitim próbálkozást igyekeztek a csalók magyarra átültetni, és a Covid19 valamint az orosz-ukrán háború gazdasági mellékhatásaiban megroggyant KKV-k számára egy reménnyel kecsegtető rendelést, hosszú távú együttműködést csalinak belengetni.
Volt akkor itt minden szokásos trükk, hogy kattintásra bírják a címzetteket: a látszólag PDF fájltípussal kapcsolatos megtévesztés, hamis feladó, tömegesen kiszórt üzleti levél, reménybeli megrendelés, és kártékony melléklet, aminél persze a naprakész vírusvédelem szerencsére rögtön felismer, blokkol, töröl.
A 4xx forintos euró válságos időszakából sajnos nem az ilyen kamu beszerzési igazgatók fognak kihúzni bennünket a recesszióból egy állítólagos zsíros megrendeléssel. Tegye fel a kezét, aki ezen komolyan meglepődött! Viszont reméljük, ennyi gyanús intő jel mellett már nem kattintott rá senki.
Head Honcho 2022.07.09. 07:30:52
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2022.07.09. 07:55:04
Head Honcho 2022.07.10. 09:18:34
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2022.07.10. 11:58:06
Ha nincs a 3 betűsön, nézd meg az 5 betűsön ;-)
Head Honcho 2022.07.10. 20:57:05