Bluffmejl med Telia som avsändare

Säkerhet

27/05 2016

Det florerar för närvarande bluffmejl som ser ut att komma från Telia. Dessa används för att sprida skadlig kod av typen ransomware som krypterar filer på offrets dator.

De är utformade som fakturamejl från Telia och innehåller en länk som leder till en phishingsida. På sidan, som efterliknar en webbsida från Telia, uppmanas man att skriva in en "captcha"-kod och för att hämta ner sin faktura. Filen som laddas ner är en ZIP-fil med ett skadligt JavaScript. Om ZIP-filen packas upp och skriptet tillåts köras så hämtas ett ransomware ner som krypterar filer på den smittade datorn.

Exempel på länk i bluffmejlet:
hxxp://srbfb[.]se/wRkyBIqU/2lqnR746.php?id=

URL till phishing-sidan:
hxxp://wzw.getyourbillsinfo24[.]org/qnzvdmh7.php

Webbplatser som serverar den skadliga koden:
tendearteplast[.]com/1.exe
gettingmarried[.]ie/1.exe

Signatur (MD5) för den skadliga binären 1.exe:
ac69a9015d68a23b275e255f4a69ba13

Källa:

https://www.cert.se/2016/05/bluffmejl-med-telia-som-avsandare