Nowy rodzaj złośliwego mailingu wykorzystuje wizerunek PKO Bank Polski

6 marca, 2020

Dążenie do łatwego i szybkiego pieniądza jest to coś, co cyberprzestępcy lubią najbardziej. Oni nigdy nie ustają w prymitywnych wysiłkach wzbogacenia się czyimś kosztem. Dla nich życie toczy się od złośliwej kampanii do kolejnej złośliwej kampanii. Takiej jak teraz, w której wykorzystują wizerunek PKO Bank Polski. Pod rzekomym potwierdzeniem płatności próbują nakłonić ofiary do pobrania i uruchomienia pliku wygaszacza ekranu (one też mogą być szkodliwe!).

CERT Polska ostrzega przed złośliwym mailingiem podszywającym się pod PKO Bank Polski.

Po dwukrotnym kliknięciu niefrasobliwy użytkownik jest infekowany złośliwym oprogramowaniem z rodziny guloader, którego zadaniem jest pobranie kolejnego narzędzia — obecnie CERT Polska obserwuje instalację malware do kradzieży danych o nazwie Agent Tesla, lecz w każdej chwili może się to zmienić.

Agent Tesla to trojan (nie zawsze bankowy)

Agent Tesla jest oprogramowaniem szpiegującym, które gromadzi informacje o działaniach swoich ofiar, rejestrując naciśnięcia klawiszy i interakcje użytkownika. W zasadzie to koń trojański, który był sprzedawany jako legalne oprogramowanie na dedykowanej stronie internetowej. Jego pierwotne pochodzenie przypisuje się tureckim autorom. Od 2014 roku jest używany przez cyberprzestępców.

Oprogramowanie stało się popularne w społeczności hakerów ze względu na łatwość użycia i wsparcie techniczne dostępne na „oficjalnej” stronie internetowej.

Ostatnio Agent Tesla było widziane pod różnymi nazwami. I to jeszcze dzisiaj, 6 marca:

00568332.doc

IMG_001.bat

Q88.Taicang.exe

Specifications.exe

SWIFT_4306638401 PDF.exe

TT.copy.exe

00113443645.exe

Dokument wysyłkowy DHL.scr

Dokument przewozowy.scr

Sample1.zip

Agent Tesla trojan.

To szkodliwe oprogramowanie jest szeroko rozpowszechniane za pośrednictwem kampanii spamowych. Zazwyczaj jest dostarczane w postaci dokumentów Office lub złośliwych łącz internetowych. Po przejściu do takiej strony złośliwy dokument jest pobierany na komputer ofiary.

Otworzenie dokumentu i włączenie makra („włącz zawartość”) powoduje pobranie faktycznego wirusa.

Przykładowy złośliwy dokument zawierający polecenia makro, które są aktywowane po naciśnięciu przycisku „Włącz zawartość”.

Najlepszym sposobem ochrony jest zachowanie ostrożności podczas czytania i otwierania podejrzanych wiadomości. Należy też używać renomowanych programów bezpieczeństwa, które nie powinny mieć trudności z wykryciem szkodliwych akcji, nawet po uruchomieniu takiego dokumentu. Zawsze dobrze mieć jeszcze jedną warstwę bezpieczeństwa oprócz ów ostrożności.

Podobne incydenty użytkownicy i firmy mogą zgłaszać pod adresem https://incydent.cert.pl.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]