Dridex -pankkitroijalaista on levitetty viime päivien ja viikkojen
aikana sähköpostikampanjoiden välityksellä.

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessakin on
havaittu Dridex tartuntoja viime päivinä. Haittaohjelmaa on levitetty
haitallisen liitetiedoston sisältävän sähköpostiviestikampanjan avulla.
Yleisesti viime aikoina nähdyissä kampanjoissa aiheena on ollut
esimerkiksi tilausvahvistus tai lasku. Viestin liitteenä on Office
-tiedosto (Word tai Excel), joka avaamisen jälkeen lataa varsinaisen
haittaohjelman koneelle.

Tunnistetietoja:

Suomessa havaituissa tapauksissa sähköpostin otsikkotiedoissa on ollut
esimerkiksi:

/From: ACUVUE_DEL <ship-confirm@acuvue.com>/

ja itse haittaohjelma on ladattu mm. seuraavista domaineista:

/goalaskatours[.]com, builders-solutions[.]com ja frontiernet[.]net/

Miten toimin?

Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin
sähköpostiviesteihin. Älä klikkaa viestien epäilyttäviä liitteitä tai
linkkejä auki. Kyberturvallisuuskeskuksen teema-artikkelista “Älä
panikoi, näin pääset eroon haittaohjelmasta
”
löytyy lisätietoja mm. haittaohjelmatartunnan jälkeisiin toimiin.

Lisätietoa:

https://www.proofpoint.com/us/threat-insight/post/Not-Yet-Dead

http://sanesecurity.blogspot.co.uk/2015/11/acuvuedel-delivery-confirmation.html

https://isc.sans.edu/diary/Botnets spreading Dridex still active/20295

http://www.secureworks.com/cyber-threat-intelligence/threats/dridex-bugat-v5-botnet-takeover-operation/

http://nationalcrimeagency.gov.uk/news/723-uk-internet-users-potential-victims-of-serious-cyber-attack

Älä panikoi, näin pääset eroon haittaohjelmasta

Kyberturvallisuuskeskus on saanut useita ilmoituksia Microsoftin nimissä
tehdyistä puhelinhuijauksista. Soittaja väittää olevansa Microsoftin
teknisestä tuesta ja kertoo havainneensa haittaohjelmia uhrin koneelta.

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessa on
havaittu huijauspuheluita suomalaisista liittymistä, joissa soittaja
esiintyy Microsoftin teknisen tuen nimissä. Soittaja on kertonut uhrin
tietokoneen levittävän viruksia ja on tarjoutunut auttamaan. Havaintojen
perusteella soittaja on puhunut englantia. Soittaja on mm. pyytänyt
käyttäjää avaamaan verkkosivun www.logmein123.com Windowsin Suorita
-toiminnon avulla.

Soittaja pyytää vastaajaa lataamaan etähallintasovelluksen
www.logmein123.com -sivuston kautta, jonka jälkeen huijari esittää
puhdistavansa olemattomat haittaohjelmat koneelta. Tavoitteena
tällaisissa huijauksissa on tyypillisesti myydä jokin sovellus tai palvelu.

Logmein on etähallintatyökaluja tuottava yritys. Verkkosivu
logmein123.com, johon huijari pyytää uhria kirjautumaan ei itsessään ole
haitallinen. Sivun kautta ladataan uhrin koneelle työkalu, jota huijari
käyttää uhrin koneen hallintaan.

Vastaavat puhelinhuijaukset ovat maailmalla yleisiä mutta Suomessa
havainnot ovat aiemmin olleet tietojemme mukaan lähinnä yksittäistapauksia.

https://blog.malwarebytes.org/fraud-scam/2013/04/phone-scammers-call-the-wrong-guy-get-mad-and-trash-pc/

To flush or purge the postfix mail queue, just enter this command
|postfix -f |
To list queue
|postqueue -p Delete from list ||postsuper -d queue-id |
If you want to delete all deferred mails
|postsuper -d deferred |

Viime päivien aikana Kyberturvallisuuskeskuksen tietoon on tullut yli
kymmenen tietojenkalastelusivua Osuuspankin, Danske Bankin, Nordean ja
Aktian nimissä.

Nordean, Danske Bankin, Osuuspankin ja Aktian nimissä lähetetyissä
tietojenkalasteluviesteissä ilmoitetaan “verkkopankin päättymisestä” ja
pyydetään vastaanottajia kirjautumaan sähköpostiviestissä olevan linkin
kautta verkkopankkiin. Linkki ohjaa väärennetylle sivustolle, jossa pyritään
varastamaan pankkitunnukset.

Erään ilmoituksen mukaan tietojenkalasteluviestin lähettämisen jälkeen
vastaanottajalle on myös soitettu ja kysytty tunnuslukulistalta tiettyä
tunnuslukua.