Forum

Mail yolu ile gelen...
 
Bildirimler
Hepsini Temizle

Mail yolu ile gelen csv uzantılı dosyalar

5 Yazılar
3 Üyeler
0 Reactions
1,642 Görüntüleme
(@EminAbbasoglu)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Merhaba 

Bir kaç gündür mailboxlarıma csv uzantılı mailler atılıyor Liste.csv siparis.csv gibi açıldığında ilk satırında anlamsız karakterler olan bir dosya virustotal de tarattırıyorum temiz gözüküyor ancak sürekli geliyor ve türkçe mail içeriği ile atılıyor 

"Ekteki siparişimize göz atar mısınız ? " gibi bu nedir acaba bilgisi olan var mı ? yeni bir saldırı türü mü ?

 

linkte dosyayı ekledim incelemek isteyen olursa

https://yadi.sk/d/1WbYu8ksAPT8zA

 

iyi çalışmalar

 

 
Gönderildi : 04/09/2018 20:15

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

Evet bu bir saldırı türü muhtemel önce bir smtp gw var ise veya office 365 gibi o temizlediği için size temiz olarak ulaşıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/09/2018 01:36

(@EminAbbasoglu)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Hakan bey,

dosyayı ayrıca hybrid-analysis.com da incelettim ve aşağıdaki ilginç bir rapor çıktı

bir açıktan faydalanıp dosyanın içeriğinde javascript bir kod olduğu ve muhtemelen  http://erayinsaat.live  sitesine erişmeye çalıştığını 

https://www.hybrid-analysis.com/sample/ba1cfc758e4569e3771a02d51c3d4ba7afec8b53db96242d2452342d7eeec875

https://www.hybrid-analysis.com/sample/ba1cfc758e4569e3771a02d51c3d4ba7afec8b53db96242d2452342d7eeec875/5b8edddb7ca3e11fbb494466

 

ama aynı dosyayı virustotalde tarattığımda temiz gözüküyor.

 
Gönderildi : 05/09/2018 01:49

(@ozkanburgac)
Gönderiler: 204
Estimable Member
 

Selam

bu aralar türeyen makro zararlısı filtreye uğramadan geldiğinde dosya açılırsa arka planda basit bir tool kuruyor ve sürekli sağa sola paket gönderimi yapıyor ama windows 10 defender dahi temizliyor 

 
Gönderildi : 05/09/2018 02:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Hakan bey,

dosyayı ayrıca hybrid-analysis.com da incelettim ve aşağıdaki ilginç bir rapor çıktı

bir açıktan faydalanıp dosyanın içeriğinde javascript bir kod olduğu ve muhtemelen  http://erayinsaat.live  sitesine erişmeye çalıştığını 

https://www.hybrid-analysis.com/sample/ba1cfc758e4569e3771a02d51c3d4ba7afec8b53db96242d2452342d7eeec875

https://www.hybrid-analysis.com/sample/ba1cfc758e4569e3771a02d51c3d4ba7afec8b53db96242d2452342d7eeec875/5b8edddb7ca3e11fbb494466

 

ama aynı dosyayı virustotalde tarattığımda temiz gözüküyor.

Dediğim gibi bu bilinen bir saldırı yöntemi Özkan da bahsetmiş.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/09/2018 02:12

Paylaş: