Murat Kaya Bilgi Güvenliği Uzmanı Security is (may not)

Black | Gray | White

BİLGİ GÜVENLİĞİ UZMANI :: MURAT KAYA

BİLGİ GÜVENLİĞİ, YAZILIM GÜVENLİĞİ, SİSTEM GÜVENLİĞİ, FİZİKSEL GÜVENLİK, YASALAR VE KANUNLAR, GÜNCEL HABERLER

Gateway.gov.uk Submission Spam ve Virüslü Mail Dropbox’tan Zararlı Yazılım İndirmenizi İstiyor

Selamlar,

Eski bir spam olan gateway.gov.uk (2013) yeniden ortaya çıktı şu an gelen mail içerisindeki linke tıkladığınızda sizi dropbox’a yöönlendirip sizden zip içerikli bir dosya indirmenizi istiyor.

Mail içeriği aşağıdaki gibi ;

From:    Gateway.gov.uk
Date:    18 March 2015 at 11:25
Subject:    Your online Gateway.gov.uk Submission

Government Gateway logo

Electronic Submission Gateway

Thank you for your submission for the Government Gateway.
The Government Gateway is the UK’s centralized registration service for e-Government services.

To view/download your form to the Government Gateway please visit http://www.gateway.gov.uk/

This is an automatically generated email. Please do not reply as the email address is not
monitored for received mail.
gov.uk – the best place to find government services and information – Opens in new window

The best place to find government services and information

Dosya virüslü, ransomware/cryptolocker versiyonu içeriyor dikkatli olmakta fayda var.

 

Turkcell Fatura Bildirimi Virüsü – Cryptolocker/Malware/Ransomware

Selamlar,

 

Bu sabah yeni bir mail daha geldi bu sefer Turkcell Fatura Bildirimi, anlaşılan heryerden gelmeye devam edecek. Rar, ZIp veya herhangi bir şekilde sıkıştırılmış biçimde gelen hiç bir dosyayı direkt olarak açıp çalıştırmayın. İçerisinde exe var ise kesinlikle silmenizi öneririm. Hiçbir kurumsal firma size fatura bilginizi EXE uzantılı göndermez.

Bu dosyada bir uzun zamandır gündemde olan FATMAL ile aynı yapıda dosyalarını şifreleyerek sizden para isteyecektir.

Mail [email protected] adresinden geliyor fakat sizlere daha farklı adreslerden gelebilir.

Turkcell Fatura Bildirimi Virüslü Mail

Turkcell Fatura Bildirimi Virüslü Mail

PTT Kargo Takip Virüsü – Malware/Ransomware/CryptoLocker – ptt-tracking.net – ptt.posta.biz

Selamlar,

Yeni bir yöntem geliştiren sanal hırsızlar şimdilerde ptt kargo sistemini kullanmaya başlamışlar. PTT Kargo takip sisteminin bri benzerini klonlayan sanal hırsızları daha önceki ttnet fatura fatmal versiyonu gibi bir yöntem takip etmişler.

Ptt Kargo Takip Gelen Virüslü Mail

Ptt Kargo Takip Gelen Virüslü Mail

Gelen mail aşağıdaki gibi ve tıklayınca öcnelikle sizi http://www.ptt-posta.biz/ adresine bu adreste yönlendirmeli olarak sizi  http://ptt-tracking.net/0af8d8df01995c7dc7e9e498ab51cf9d adresine gönderiyor.

PTT kargo takip virüsü sahte sayfası ptt-tracking.net

PTT kargo takip virüsü sahte sayfası ptt-tracking.net

Bu tür bir mail aldığınızda açmadan silmenizi tavsiye ederim.

TTNET Phishing Saldırısı – Sahte E-Fatura Bilgilendirme Maili – FatMal Zararlı Yazılımı

ttnet_fakte_phishing_detailMerhabalar,

Sabah saatlerinde aşağıdaki gibi bir mail İdari işlerimize gelmiş, mail içeriğinde ZIP dosyası mevcut ve fatura tutarı inanılmaz biçimde kabarık. Bu kadar yüksek fatura tutarını görünce insan ister istemez panik olup hemen kontrol etmek için mail içerisindeki linkte tıklıyor ve sizi PDF dosyası indirmek için bir adrese yönlendiriyor. Bu dosya da ZIP ile sıkıştırılmış. Dosyayı açmak istediğiniz de ise “fatura_20394.pdf                                   .exe” gibi bir dosya çıkıyor. Dosya virüslü fakat anti-virüs yakalamadı o da ilginç. Dikkatli olmanızı öneririm..

Buna benzer bir zararlı yazılım 2012 yılında (malware) www.Bilgiguvenligi.gov.tr adresinde FatMal olarak isimlendirilmiş. İlgil adresten detaylarını inceleyebilirsiniz.

İlk fırsatta dosyayı analiz edip ne yapmaya çalışıtğını da yazacağım :)

Ek Not: ttnet-bilgilendirme.net adresine girdiğinizde durum çakılmasın diye http://www.ttnet.com.tr/Sayfalar/Ana-Sayfa.aspx adresine yönlendirme yapılmış ( resmi site )

Ek Not 2: Adresi güncellemişler yeni adresi www.ttnet-bilgilendirme.com

Yeni resim ise aşağıdaki gibi :

ttnet-online.com sahte e-fatura sayfası resmi

ttnet-online.com sahte e-fatura sayfası resmi

KISA BİR ANALİZ ( Tıklamış olanlar için ) – Tüm Analiz Dosyası -> TTnet Phishing Analiz Dosyası

İlgili exe aşağıdaki klasörleri oluşturuyor :

  • C:\Documents and Settings\All Users\Application Data\Sun
  • C:\Documents and Settings\All Users\Application Data\yrekymok

Aşağıdaki klasölere erişim değişiklik/yeni dosya kopyalıyor.

  • C:\Documents and Settings\All Users\Application Data\Sun\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\Sun\otaxobabkxes
  • C:\Documents and Settings\All Users\Application Data\yrekymok\omydynagojis
  • C:\Documents and Settings\All Users\Application Data\yrekymok\otaxobabkxes
  • Ip
  • PIPE\lsarpc
  • \Device\Ip
  • \Device\Tcp

ve daha sonra bu dizinlere erişip kendisini çalışıtırıyor. Aşağıdaki dizinde yer alan dosyanın içeriğini değiştriyor.

  • C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
  • \S-1-5-21-842925246-1425521274-308236825-500\a18ca4003deb042bbee7a40f15e1970b_4604e8cc-5b9c-4ffb-a374-a62e6d0494fc
  • Aynı zamanda kendisini saklamak için attrib komunutunu çalıştırıyor.
  • En son olarak AVG ve Sophos bu dosyayı Zbot.ASC Trjan (truva atı) olarak tanımladı.

şimdilik bu kadar…zbot.asc

Aşağıda gelen mailin içeriği mevcut:

From: TTNET Bilgilendirme [mailto:[email protected]]

Sent: Thursday, July 11, 2013 10:13 AM

To: _Firma Irtibat Adresi

Subject: [FİRMA İSMİ ] BİLGİ İŞLEM HİZMETLERİ AŞ, TTNET Hizmeti Fatura
bilgileriniz

Download Adresindeki resim :

ttnet_fakte_phishing_donwload

TTnet Sahe E-Fatura Phsihing Saldırısı

TTnet Sahte E-Fatura Phishing Saldırısı

 

[email protected] ve money4ptr@gmail şifreleri

Bir çok kişi mail veya telefon ile bu ve benzeri olaylarda bir sonuç elde edilip edilemediğini sormuş. Çok zor ve düşük bir ihtimal ile olsa da bazen elde edilebiliyor. Bir önceki yazımı dikkate almanız şart.

Steganos Backup / TrueCrypt Password

[email protected] : offeR18Hip+sou77EtnAs/1306

[email protected] : Ui!~$snE<[p?fn/SfCc:fZ(E:Master

Önceki yazım : http://www.muratkaya.com.tr/sirket-verilerinizi-kaybetmek-hacklenmek-istiyorsaniz-bunlari-mutalaka-yapin/