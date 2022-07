Egy új átverés szerint rendelnének tőlünk, erről maga Borodi Bence, beszerzési igazgató tájékoztat egy kéretlen e-mailben, remek hír, jaj de jó. Ráadásul úgy tűnik volt neki gyerekszobája, mert elsőként köszön, sőt még a családunk egészsége felől is illendően tudakozódik – számol be a kéretlen levélről az ESET szakembere. Saját magával kapcsolatban azonban már eléggé szűkszavú, például azt sem tudjuk meg, pontosan melyik cégtől is keres bennünket. Hogy mit is rendelnének, azt is homály fedi.

Bár a feladó címe „kitap KUKAC yagmurkitapkirtasiye PONT com”, de az e-mail trace szerint a németországi Falkensteinből írtak nekünk. A feladó domain adatai viszont ezzel szemben egyértelműen Törökországra utalnak. Azért a rend kedvéért azt is vegyük észre, hogy nem mi vagyunk itt a mélyen tisztelt és nagyra becsült egyedüli címzettek, hanem sima körlevélként az „undisclosed-recipients:” szerepel, vagyis ez egy tömegesen terjesztett spam kampány részének látszik.

A levél teljes szövege a következő:

Jó reggelt kívánok,

Remélem, hogy Ön és családja jó egészségnek örvend ebben a megpróbáltatásban.

Kérjük, olvassa el a csatolt dokumentumot, amely leírja az első vásárlást a cégtől, és visszaküldendő levélben adja meg a legjobb árajánlatot, a fizetési feltételeket és az áruk legkorábbi szállítási határidejét a megadott módon.

Várjuk gyors válaszát, mivel hosszú üzleti kapcsolatra számítunk.

Üdvözlettel,

Borodi Bence

Beszerzési igazgató

Szép alliteráció: Borodi Bence Beszerzési. A melléklet viszont, ami a képernyőképen hamisan PDF-nek, azaz hordozható dokumentum formátumnak van ábrázolva, nem valós információ, ugyanis az valójában a „Rendelés.tgz” fájlra mutat egy valószínűleg feltört OneDrive fiókban.

Ebben pedig egy szintén ékezetes nevű „Rendelés.exe” bontható ki. Na és vajon mit küldött ebben nekünk az állítólagos török-német nagyságos igazgató úr? Hát nem árajánlat kérést, annyi biztos, ez itt már a spoiler helye.

Ha feltoljuk ezt a Windows alatti futtatható .exe állományt a VirusTotal oldalra, akkor már látható, hogy egy trójai letöltő kártevőt próbáltak meg ránk sózni. A ma reggeli állapot szerint egyelőre csak 12 AV motor detektálta a kártékony kódot.

Az eredete talán az lehet, hogy egy angol nyelvű, vállalkozásokat segítő legitim próbálkozást igyekeztek a csalók magyarra átültetni, és a Covid19 valamint az orosz-ukrán háború gazdasági mellékhatásaiban megroggyant kkv-k számára egy reménnyel kecsegtető rendelést, hosszú távú együttműködést csalinak belengetni.

Volt akkor itt minden szokásos trükk, hogy kattintásra bírják a címzetteket: a látszólag PDF fájltípussal kapcsolatos megtévesztés, hamis feladó, tömegesen kiszórt üzleti levél, reménybeli megrendelés, és kártékony melléklet, aminél persze a naprakész vírusvédelem szerencsére rögtön felismer, blokkol, töröl.

Borítóképünk illusztráció (Shutterstock)