image

Nepmails Intrum Justitia verspreiden ransomware

woensdag 14 december 2016, 12:26 door Redactie, 5 reacties
Laatst bijgewerkt: 15-12-2016, 09:22

Op dit moment worden weer e-mails verstuurd die van het Haagse incassobureau Intrum Justitia afkomstig lijken, maar in werkelijkheid ransomware proberen te verspreiden. De e-mails hebben als onderwerp "Openstaande Factuur" en stellen dat de ontvanger nog een bedrag heeft openstaan.

In het geval er niet wordt betaald zal er een "gerechtelijke procedure" volgen, aldus de mail. "Blijft betaling uit, dan zijn wij genoodzaakt cliënt te adviseren om over te gaan tot het opstarten van een gerechtelijke procedure. De kosten die hieruit voortvloeien zullen geheel voor uw rekening komen", zo laat het bericht weten. Meer informatie zouden ontvangers van de e-mail in de factuur kunnen vinden.

Er is een zip-bestand meegestuurd dat zogenaamd de factuur zou zijn. Dit zip-bestand heeft de naam "Factuur[getal].zip". Eenmaal geopend blijkt het om een JavaScript-bestand te gaan. Het zip-bestand werd op het moment van schrijven door 10 van de 54 virusscanners op VirusTotal herkend. Het js-bestand doet bij 6 van de 54 virusscanners de alarmbellen rinkelen.

Intrum Justitia waarschuwt via deze pagina voor de e-mail. Ook op Twitter klagen mensen over de e-mails. "Worden jullie ook platgespamd met die fake intrum justitia mails?! ik vond deze zo eng echt lijken, dat ik toch maar even ben gaan bellen", aldus één Twitteraar. Marc Loman van het Britse anti-virusbedrijf Sophos meldt dat het JavaScript-bestand uiteindelijk ransomware probeert te installeren. Internetbedrijf TransIP, dat in de e-mail wordt genoemd, waarschuwt gebruikers ook voor de laatste spamrun.

Image

Reacties (5)
14-12-2016, 14:35 door Anoniem
Waarom is dit rekeningnummer afgeplakt?
Juist een goede IOC.

Mag hopen dat het nummer toch al blocked is.
14-12-2016, 14:37 door Anoniem
Ook emails vd KPN gaan weer rond:

https://virustotal.com/en/file/dd8ed3ce3fd57d671a9f2801330c15da098bfe2c1fbf418f27d3801efbb88ab3/analysis/
https://virustotal.com/en/file/0d0fad14afa4dc380ace7525102dc6b12b21674d38619681d5170301843acb19/analysis/
14-12-2016, 14:55 door Anoniem
En ook DHL is aan de beurt:
https://virustotal.com/en/url/9560a0b8ef68265fc5819a578f80391a14aa65f24fa1f8cb126847480a11ff3f/analysis/1481723552/
https://virustotal.com/en/url/24b336b6275d64fb7b11227b24110cc1f80da5368d0cb85ca5c3952aebe34444/analysis/1481723652/
https://virustotal.com/en/file/cd6dad1f5afc7731f8a10e54bbcd460bb1d3e5e5f2f11ec484641b1d9cb898e9/analysis/1481723658/
https://virustotal.com/en/file/02fa062c0b5f64f19df82a1d7db81c68da15d942f0d64d3ed7503d131d0a9eca/analysis/
15-12-2016, 16:18 door Anoniem
Wordt het geen tijd dat deskundigen, politie en alle providers de handen in een slaan om te proberen dit te blokkeren en zo mogelijk te achterhalen waar het vandaan komt? Dus gewoon 1 meldpunt welke er vervolgens mee aan de slag gaat en niet dat je de kans loopt op een bericht dat men er niks mee kan. Dit gegeven weten volgens mij de mensen achter deze mails ook dat ze ruim baan hebben en houden. Werken aan een systeem met een blacklist of zoiets welke het tegen houdt zeg ik even in grote lijn.
16-12-2016, 09:53 door Anoniem
Ik ben geen gebruiker van meerdere providers maar zou het eens in kaart kunnen worden gebracht welke "afzenders" er in bepaalde berichtenboxen (lees inbox van een bepaalde provider) terecht komt. Mijn gevoel zegt (maar zou bewijs ervoor willen zien en dan kunnen deskundigen er ook meer mee) dat bepaalde providers gevoeliger zijn. Zo ken ik iemand (vraag me niet waarom of wat het nut is) welke bij twee grote providers een abonnement en dus ook mailbox heeft. De ene nooit valse mails en de andere (KPN) om de haverklap en met name in bepaalde perioden valse mails. Andere kennissen (kan toeval zijn) met andere providers zelden of nooit maar die bij KPN zitten zeggen er vrij vaak tegenaan te lopen. Ik ben geen security deskundige maar als leek zegt mijn inschatting dat het een nader onderzoek waard kan zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.