Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:

Od: Peter Wong Shun Tung <[...]@[...].hk>
Odpowiedz do: peter[....]@yahoo.com.hk

Witam serdecznie,

Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac sie z Panstwem, poniewaz nie mieszkaja Panstwo w Hong Kongu. Prosze miec na uwadze, ze cala sprawa musi zostac zakonczona przed uplywem dwoch tygodni. Oczekuje na odpowiedz, o ktora uprzejmie prosze. W nastepnej wiadomosci przekaze wiecej szczegolow o sobie i o prezentowanej przeze mnie propozycji.

Pozdrawiam,
Peter Wong Shun Tung.
peter[....]@yahoo.com.hk

List wysyłany jest z chińskich serwerów. Peter Wong Shun Tung jest w rzeczywistości prezesem banku HSBC. Trudno jednak spodziewać się, żeby z prywatnego konta na Yahoo zapraszał polskich internautów do zrobienia świetnego poufnego interesu. Oczywiście, maile te są próbą wyłudzenia pieniędzy, polegającą na zaangażowaniu odbiorcy w proces rzekomego zdobycia czy przekazania ogromnych funduszy, od których ma on otrzymać znaczący procent. W trakcie okazuje się, że należy uregulować wiele opłat manipulacyjnych, które naturalnie mają zostać później zwrócone z nawiązką.

Wyłudzenia tego typu nie są niczym nowym. Są znane od wielu lat jako “przekręt nigeryjski” (od kraju, którego obywatele rozpowszechnili ten proceder), 419 scam (od numeru artykułu dotyczącego pozyskania cudzego majątku przez oszustwo w nigeryjskim kodeksie karnym) lub z angielskiego “advance-fee fraud”. Procederem tym wielokrotnie trudniły się także zorganizowane grupy przestępcze, głównie z krajów afrykańskich. Należy więc być wyjątkowo ostrożnym w ewentualnych kontaktach z przestępcami. Znane są bowiem przypadki uprowadzeń dla okupu oraz zniknięć bez śladu osób, które próbowały prowadzić grę z przestępcami.

Nowością jest pojawienie się tego rodzaju listów pisanych niemal bezbłędną polszczyzną. Z pewnością w tworzeniu treści brała udział osoba polskojęzyczna. Być może korzystano z “wynajętego” tłumacza, a może doszło do połączenia sił różnych organizacji przestępczych?

W każdym razie, stanowczo zalecamy nie odpowiadanie na podobne emaile niezależnie od proponowanej kwoty wynagrodzenia i języka, w którym list jest napisany.

W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć.

Read more

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : http://www.cert.pl/wp-content/uploads/201106_hamweq.pdf