Od wczoraj informujecie nas o e-mailach, jakie spływają na wasze skrzynki e-mail, a które są zatytułowane “informacja o zamiarze wszczęcia kontroli skarbowej”. Oto jak wygląda wiadomość:

Informacja o zamiarze wszczęcia kontroli skarbowej

Urząd Skarbowy odczytać zawiadomienie о zamiarze zainicjować kontroli w dniu 18.04.2019r. Wobec braku możliwości ustawienia kontaktu telefonicznego w dniach 4-7.04.2019r. i nie zastania podatnika w jego siedzibie w dniu 6.04.2019r. w celu ustalenia terminu wszczęcia kontroli. Urząd Skarbowy wyznacza termin zainicjować kontroli na 29.04.2019r. о godz. 9.00.
Jednoczesnie Urzqd Skarbowy informuje, ze zgodnie z art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z p6zn. zm.) w zwiqzku art. 80 ust. 1 ustawy z 2 lipca 2004 г. о swobodzie dziatalnosci gospodarczej (Dz. U. z 2007 r.. Nr 155, poz. 1095 z pozn. zm.) czynnosci kontrolnych dokonuje si$ w obecnosci kontrolowanego lub osoby przez niego upowaznionej. Oznacza to ze w wyzej wymienionym terminie jest Pani/Pan zobowiązana do obecnosci w siedzibie swojej Firmy i wspofpracy z inspektorem kontroli. Ponadto zgodnie z art. 80 ust. 3 ustawy о swobodzie dziatalnosci gospodarczej jest Pani/Pan zobowiązuje do pisemnego wskazania osoby upowaznionej do reprezentowania Pani/Pana w trakcie kontroli, w szczegolnosci w czasie Pani/Pana nieobecnosci.
Jest Pani/Pan zobowiązania do przygotowania wszystkich potrzebnych dokumentow zwiqzanych z prowadzone przez Pani/Pana Firm wymienionych w załączniku(dokumenty.rar).
Nieobecnosc Pani/Pana moze zostac uznana za stan wyczerpuje znamiona wykroczenia okreslonego w art. 98 ust. 1 pkt 3 ustawy z 13 pazdziernika 1998 r. (Dz. U. z 2007 r., Nr 11, poz. 74 z pozn. zm.).
INSPEKTOR KONTROLI
Urząd Skarbowy
mgr Marian Jakubowski

Wysyłka zaczęła się wczoraj (pierwszą próbkę otrzymaliśmy o 21:33). W e-mailu znajduje się załącznik będący archiwum .tar, które zawiera złośliwy skrypt VBS:

dokumenty.tar MD5: 08afeefa71dd1a0fc914922413f97137
dokumenty_100780911.vbs MD5: 9f50c9e82a48f228e03f54d52c7e3a5a

próbujący łączyć się na porcie 443 z adresem:

185.141.62.170 (colormessa.info)

Cześć z antywirusów już wykrywa zagrożenie (w tym polecane przez nas antywirusy, za które nie trzeba płacić):

To nie jest “nowy” atak!

Malspam jak malspam. Ale ten jest ciekawy, bo dzisiejsza kampania jest w zasadzie słowo w słowo taka sama jak kampania, którą opisywaliśmy prawie 3 lata temu w tym artykule. Konstrukcja jest taka sama, przestępcy zmienili jedynie rok w tamtej treści z 2016 na 2019, nazwisko inspektora i kilka słów na bliskoznaczne im zwroty. 3 lata temu załącznikiem był .pif.

Czy to ta sama grupa? A może ktoś skopiował stary szablon, bo w okresie “rozliczeń podatkowych” szukał czegoś dotyczącego kontroli skarbowej? Ciekawe.

Tak czy inaczej, ostrzcie (i uspokójcie) swoje księgowe i swoich prezesów. Kontroli nie będzie. Co najwyżej kontrola “antywirusowa” jeśli ktoś z Was w logach DNS znajdzie odwołania do podanej powyżej domeny…

PS. Zazwyczaj o takich atakach i złośliwych kampaniach e-mailowych ostrzegamy w osobnym, niewidocznym na głównej stronie Niebezpiecznika w dziale “Aktywne Ataki”. Tym razem sprawę poruszyliśmy na głównej stronie z racji liczby zgłoszeń, które od Was w tej sprawie dostaliśmy. Atak wygląda na “bardzo szeroki”.

Źródło:/niebezpiecznik.pl/