En mail der påstår at være en regning fra Tele2 dækker i virkeligheden over et angreb mod danskerne. CSIS Security Group anbefaler, at man straks sletter den, hvis man har modtaget den, da den vedhæftede fil indholder skadelig kode.
Mailen har intet med Tele2 at gøre, men udgiver sig blot for at være en rykker for en ubetalt regning fra firmaet.
Den vedhæftede rar-fil udpakker blandt andet en fil kaldet "regning.exe", hvis den åbnes. Ifølge CSIS Security Group medfører det også, at den registrerer sig som en LSP service, hvilket gør den ondsindede kode i stand til at inficere systemet, så det der opsamles trafik. Det kan derefter sende følsomme data til en en Command & Control server.
»Der er tale om en ny spamtoo variant der tidligere har misbrugt Tele2's navn i forbindelse med spamruns og social engineering,« skriver CSIS Security Group i en pressemeddelelse.
Den falske mail er blevet sendt ud til top-level domænet .dk og kan så således dukke op som spam og ramme uforsigtige brugere.
»Når vores navn bliver misbrugt gælder det om at handle så hurtigt som mulig. Vores alarmsystemer har også i dette tilfælde effektivt blokeret for mailen, så den er kun kommet frem til ganske få af vores egne kunder. Og samarbejdet mellem teleselskaberne har fungeret upåklageligt, og alle selskaber har hurtigt og effektivt gjort en stor indsats for at lukke ned for den skadelige mail«, siger Thomas Nistrup, administrerende direktør i Tele2, i en pressemeddelelse.
Den falske mail ser således ud:
Fra: [falsk afsender]
Emne: betalings service
Kære kunde!
Mobiltelefoniudbyder Tele 2 minder Dem om at ved manglende indbetaling bedes De betaler vedlagte regning.
Med venlig hilsen Inge Bagger Mikkelsen
Adresse:
Tele2 A/S
Gl. Køge Landevej 55
DK - 2500 Valby
betalingsservice@tele2.dk
Vedhæftet:
[vilkårligt filnavn.rar]
»Når koden er kørt, kopieres filen sporder.dll til windows systemmappen. Denne fil indeholder ingen skadelige funktioner, men er en ledsager komponent. Derimod er "rsvp32_2.dll", som også kopieres til windows systemmappen, helt klart ondsindet. rsvp32_2.dll er hovedkompontenten og anvendes til at ringe hjem til en specifik URL med POST data kommandoer,« skriver CSIS Security Group.
