W skrzynkach pocztowych Polaków pojawia się fala maili ze złośliwym załącznikiem z ukrytym w środku trojanem Danabot. Wirus kradnie m.in. loginy i hasła dostępowe do polskich rachunków bankowych. Nadawcą wiadomości jest rzekomo Urząd Skarbowy, który zawiadamia odbiorcę maila o zamiarze wszczęcia wobec niego kontroli.

W poniedziałek (10 czerwca br.) eksperci z firmy antywirusowej ESET wykryli falę wiadomości spamowych, zawierających złośliwy załącznik VBS/TrojanDownloader.Agent.RKY. Zagrożenie infekuje komputery ofiar koniem trojańskim Danabot, a więc rodzajem złośliwego programu, dzięki któremu cyberprzestępca może przejąć kontrolę nad zainfekowaną maszyną.

Wirus wysyłany jest za pośrednictwem poczty elektronicznej w mailach zatytułowanych „INFORMACJA O ZAMIARZE WSZCZECIA KONTROLI SKARBOWEJ” (pisownia oryginalna). Nadawcą wiadomości jest rzekomo Urząd Skarbowy. Nadawca informuje o tym, że nie udało mu się skontaktować z podatnikiem, dlatego wyznacza termin kontroli na 18 czerwca… 2016 roku!

Skąd ten błąd w dacie? Czyżby to kopia pułapki sprzed lat i cyberprzestępcom śpieszyło się z wysyłką za bardzo? Twórcy pułapki starają się uwiarygodnić swoje działania powołując się na przepisy prawa, cytują w treści: „art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z pózn. zm.)” (pisownia oryginalna).

Powiadamiają odbiorcę o wymaganej obecności w terminie wskazanym przez „Urząd”. Nadawcą jest niejaka mgr Marzena Fierek – być może faktycznie istniejący pracownik urzędu.

Treść zachęca do zapoznania się z załącznikiem, będącym wykazem potrzebnych dokumentów do przeprowadzenia kontroli skarbowej. W rzeczywistości plik zawiera zagrożenie, które infekuje komputer trojanem bankowym, rejestrującym numer klienta i hasło dostępowe do rachunku bankowego swojej ofiary.

Fałszywa wiadomość.
Urząd Skarbowy nie wysyła maili.

Trojan Danabot, w czerwcu zeszłego roku, był wykorzystywany przez cyberoszustów w kampanii spamowej, której nadawca podszywał się pod towarzystwo ubezpieczeniowe Ergo Hestia. Aktualnie mamy do czynienia z kolejną falą ataków, tym razem na klientów polskich banków. W przeszłości wirus atakował klientów banków z Włoch, Niemiec, Austrii, czy Ukrainy.

AUTOR:

Katarzyna Pilawa

Podziel się

Komentarze

PN pon., 10-06-2019 - 15:23

Ciekawostka, bo eksperci z Eseta wykryli fale wiadomosci ale Eset blokuje tylko ich czesc. Wszystkie sa blokowane przez mks'a, arce (w koncu to polski spam :)) gdate i fsecure.

Adrian Ścibor pon., 10-06-2019 - 17:47

Tak się składa, że każdy producent ma swoje patenty. Śmiem twierdzić, że na spam, złośliwe załączniki, blokowanie załączników już po uruchomieniu, nie ma sobie równych polski producent :) Niedawno G DATA zaprezentowała nową wersję, sprawdzimy poprawę. I nie jest tajemnicą, że producenci dzielą się informacjami o zagrożeniach, więc z tą wykrywalnością to trzeba to porównywać w czasie kilku sekund, bo później propagacja baz danych już się rozprzestrzenia. Zresztą, nie liczy się kto pierwszy, tylko czy skutecznie :)

Dodane przez PN w odpowiedzi na

PN śr., 12-06-2019 - 09:24

Zdecydowanie najbardziej rozczarowuje Bitdefender, ktory ostatnimi czasy wydaje sie zaczynac odstawac od pozostalych graczy.

Pomoc mks_vir śr., 12-06-2019 - 11:21

To my też wtrącimy 3 grosze :) Maile ze skryptami to ostatnio lider masowych ataków, a dziś od rana "idzie" kolejna duża fala listów ze skryptami w załącznikach.

Dodaj komentarz