Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - phishing

Bluffmejl med Telia som avsändare

Det florerar för närvarande bluffmejl som ser ut att komma från Telia. Dessa används för att sprida skadlig kod av typen ransomware som krypterar filer på offrets dator.

De är utformade som fakturamejl från Telia och innehåller en länk som leder till en phishingsida. På sidan, som efterliknar en webbsida från Telia, uppmanas man att skriva in en "captcha"-kod och för att hämta ner sin faktura. Filen som laddas ner är en ZIP-fil med ett skadligt JavaScript. Om ZIP-filen packas upp och skriptet tillåts köras så hämtas ett ransomware ner som krypterar filer på den smittade datorn.

Exempel på länkar i bluffmejlet:
hxxp://srbfb[.]se/wRkyBIqU/2lqnR746.php?id
hxxp://forumscene[.]no/KRCbk/hc43LMbI.php?id
hxxp://anchoragechamber[.]org/VH4McNl/kgjJOQ.php?id
hxxp://am-rosenbusch[.]de/2I7OFhQb0Ci/YND4VmL.php?id
hxxp://bluecrabcharters[.]com.au/1yaI3zFtWAOb/sD5TRZz.php?id
hxxp://ccpcompositesus[.]com/65fSgVLe/nc4NAI3J7Yzs.php?id
hxxp://civradio[.]com/WojFQ/T6e8tWIuzE.php?id
hxxp://consultoresre[.]com/u24wDO5ytck/tNp0ZDa.php?id
hxxp://coopsandthebird[.]com/QXevGNZo7U/D9NYpShGljmI7cf.php?id
hxxp://damoon-pey[.]com/y21DUg6TdzHC/qO3Lu20KMI95HVSa.php?id
hxxp://der-holzladen[.]net/jfcxsvaRBA/xVWMciOPD90l2L.php?id
hxxp://dgsg[.]be/nsOhjHYmLP2/IWrVqUOnwPH.php?id
hxxp://euroindy[.]com/Qrw6XJW24FOz/IHw426.php?id
hxxp://fmhostel[.]com/xgeYiqXQP/tTh2aukLQvl.php?id
hxxp://gotisk[.]dk/yYeCjNQVucH/SnKBs74QwhxL9rq.php?id
hxxp://granfondosangottardo[.]com/KigcDotpqyIz/olay23u.php?id
hxxp://hotel-skorzecin[.]pl/YvpmCiDx/xkSfz81qh0TmB3KD.php?id
hxxp://kid-guru[.]ru/59VKfUEDj/LhqUsBRMdyge7lT.php?id
hxxp://kierwright[.]com/jZqwaM7p3E/B3Ld1DARh02xCHtU.php?id
hxxp://kunststoff-design[.]ch/2M1z3TGmkN/CEbYFXt.php?id
hxxp://kvadro93[.]ru/GBM6jcUEqXf/32ieWvaOAlkJr.php?id
hxxp://kyovaevents[.]com/hSCDtH/NFQm4ZEUB.php?id
hxxp://michaelphelps[.]com/5s3hdgu1rkT/FfTzUL.php?id
hxxp://minovit[.]com/8FCfqE0T/mbSkq2a3Z5Bd1.php?id
hxxp://oshma[.]com.ar/AJokbOwEPYKv/q5JZMsbG8CF.php?id
hxxp://pasja[.]org/Ckrq2Fw8/3Azoayeh.php?id
hxxp://pregnancy[.]by/HSqgLD0EAhR/HTt43Li.php?id
hxxp://rosemariefrey[.]de/1yn9SJb/sHthxLqb9z1nB6.php?id
hxxp://rssteel[.]com.br/XdfPq8KZb/hTAKmuX97xvaM6V.php?id
hxxp://sahovskisavezinvalidars[.]org/WDyg0q12G/FYGzkbKg5ynXIoU.php?id
hxxp://screammagazine[.]com/8TynwO/R4HmJ1iwVo.php?id
hxxp://scriptgui[.]info/NjkvegE5/MjayCY0xBX.php?id
hxxp://techproekt[.]com/W3hT7Yt84/KBAXztJRc6.php?id
hxxp://thewoodlandsdatarecovery[.]com/cu3A7vVC/k4vwF7S1M9A.php?id
hxxp://tugrupoamigo[.]com/4D8u9eSZR/dMyh4AU1.php?id
hxxp://vboc[.]be/LqfUR/8EhNWcpkqVaC.php?id
hxxp://verola[.]be/HhdVlXQAj/9OXFH0ktj.php?id
hxxp://wa1mortgage[.]com/wkR7Hlo/XEVyMRUZbvOem4K.php?id
hxxp://weblogics[.]nl/Eo5t0iT/NU5vSCmqW8K0.php?id
hxxp://welington[.]info/x9jtQ/yqL1X0CtG.php?id
hxxp://xn--b1afiai2adh9d[.]xn--p1ai/Gqikp/jpbqUSsFvGa.php?id

Exempel på URL:ar till phishing-sidan:
hxxp://wzw.getyourbillsinfo24[.]org/qnzvdmh7.php
hxxp://oxz.faktura-viewer[.]org/qyi78.php
hxxp://mqpx.faktura-viewer.org/ozzp2.php?id
hxxp://qclw.faktura-viewer.org/mtlwit.php?id
hxxp://qo6.mobilebillviewer.net
hxxp://c52.teliabills.com/
hxxp://c3bg.getyourbillsinfo24.org

Webbplatser som serverar den skadliga koden:
tendearteplast[.]com/1.exe
gettingmarried[.]ie/1.exe
ideamix-yar[.]ru/1.exe
blackstonefx[.]com/1.exe

Signaturer (MD5) för den skadliga binären 1.exe:
ac69a9015d68a23b275e255f4a69ba13
5febbd07f2d04d79c13eec2aeb219322