V nové vlně podvodných e-mailů její autoři rozesílají uživatelům informace o fiktivní objednávce provedené na internetovém obchodu obchody24.cz. V těle e-mailu se nachází informace, že objednávka byla přijata a fakturu společně s platebními informacemi naleznete v příloze. Přílohu v žádném případě nestahujte, neotevírejte a zprávu rovnou smažte! Obsahuje totiž škodlivý kód. Pokud jste na daném eshopu skutečně prováděli objednávku, důkladně si zkontrolujte, že objednané zboží odpovídá vaší objednávce.

Pokud máte aktivní technologii ESET Live Grid, pokus o stažení infikované přílohy bude zablokován již nyní. Produkty ESET škodlivý kód detekují standardními technikami od verze virové databáze 10999 jako další variantu Win32/TrojanDownloader.Elenoocka a Win32/Kryptik.CVBD.

Vzor zprávy:

Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

Číslo objednávky (variabilní symbol): M5E82635AC42484
Datum a čas objednávky: 10.01.15 52:52
Kontaktní údaje:
Chaoki Nasreddin
+420 605 852 382

Vaše objednávka:
——————————
Leadtek WinFast A360-TD128, FX5700, 128 MB DDR,TV, DVI, VIVO, bílá: 1 x 3 343,00 Kč =3 343,00 Kč
Doúprava PPL: 111 Kč
——————————
Celková cena nákupu vč. DPH: 3 454,00 Kč
Způsob platby: Platba předem – platební karta
Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (invoice426F4C5.zip)

Nyní prosím vyčkejte na našeho operátora,
který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

 

pokud jste soubor s příponou .src spustil, proveďte kontrolu počítače v Nouzovém režimu prostřednictvím nástroje ESET Online Scanner.

E-mail obsahoval přílohu – dvakrát zazipovaný archiv se spustitelným soubore scr (jinak přípona pro spořič windows), který, pokud byl spuštěn (kromě zobrazení jistého nesouvisejícího textového dokumentuv rtf), stáhnul (snad až po několika minutách čekání) z internetu další škodlivý kód – bankovní malware Tinba, soubor s názvem spcommon.exe do adresáře „C:\Documents and Settings\User\Application Data\SpeechEngines“ a své spuštění si zajistí zápisem do klíče Run v registrech.