[ Aktualizacja ] Makro wirus atakuje polskich klientów banku PKO BP

Polscy użytkownicy instytucji bankowej ponownie na celowniku cyberprzestępców. Tym razem oszuści internetowi skierowali swoje szkodliwe działania m.in w klientów banku PKO PB oraz inne przypadkowe osoby. Pod pozorem ważnej informacji dotyczącej nowych metod kontroli przeprowadzanych transakcji elektronicznych, wysyłają do swoich ofiar szkodliwy dokument DOC, który zawiera makro wirusa.

Szkodliwe e-maile nie dość, że rozprzestrzeniane są przez nieznanych sprawców o bliżej nieokreślonej narodowości – na co wskazuje łamana polszczyzna, to sama ich treść jest tak fatalnie skonstruowana, że tylko niepojęta chęć otworzenia załącznika może nakłonić potencjalną ofiarę do otworzenia ów pliku.  

Możliwe tematy wiadomości (pisownia oryginalna):

1. Temat: PKO Bank - Za transakcje powyzej 10.000 zl bedzie kontrolowac urzad kontroli podatkowej
2. Temat: Za transakcje PKO BP bedzie kontrolowac urzad kontroli podatkowej
3. Temat: Wszystkie transakcje PKO Banku znajdujace sie pod kontrola urzada podatkowego
4. Temat: Pko Bank Polski bedzie monitorowac wszystkie transakcje

Oryginalna treść wiadomości: 

18.06.2015 dyrektor Finansowy banku iPKO Laura Majko wystapila z wnioskiem,ze od poczatku marca biezacego roku, wszystkie przelewy sa wykonywane pod scislym nadzorem urzedu podatkowego i glównego banku Unii europejskiej w Brukseli.

Zostanie wprowadzony system limitów i automatycznej kontroli, w niektórych przypadkach pelny audyt.
Szczegóły tego reportażu możesz przeczytać zalaczony =lik. 


Załącznik zawiera plik DOC 917_46348.doc ze szkodliwym kodem VBA, który po uruchomieniu wykonuje polecenia makro - pobiera z sieci dodatkowe szkodliwe skrypty i złośliwe oprogramowanie. 

„Włączenie zawartości” inicjuje rozpoczęcie całego łańcucha bliżej nieokreślonych i opłakanych w skutkach zdarzeń. W pierwszej kolejności pobierany z sieci jest koń trojański z funkcjami backdoora, który otwiera hakerowi tylne furtki w systemie. Następnie wirus kopiuje się do lokalizacji C:\Users\user_name\AppData\Local\Temp\conneSvr.exe oraz co jakiś czas komunikuje się z serwerem w domenie fooofoooofooo.com. Stanowi on poważne zagrożenie dla ofiary - może spowodować, że haker będzie w stanie zdalnie łączyć się z zainfekowanym komputerem i wykradać z niego poufne informacje (np. loginy i hasła) przechowywane na dysku twardym. Co więcej, w niektórych przypadkach atakujący może przekierowywać użytkownika do różnych stron reklamowych bądź stron ze szkodliwą lub phishingową zawartością, a słabo zabezpieczony komputer może przejść pod kontrolę internetowego przestępcy. 

  • W momencie pisania tego artykułu tylko jeden program antywirusowy był w stanie wykryć szkodnika - analiza VT

Wygląda więc na to, że makro wirusy przeżywają swoją drugą młodość. Na całe szczęście Microsoft od wersji 2010 pakietu Office postanowił wziąć sprawy w swoje ręce i zadbał o nasze bezpieczeństwo wyłączając automatycznie wykonywanie makr po otworzeniu dokumentu. Funkcja ta powinna być zawsze wyłączona, nawet w prywatnych firmach i instytucjach publicznych, które jak wiadomo bardzo często przekładają wygodę i złe nawyki pracowników ponad bezpieczeństwo komputerowe. 

Aktualizacja 19.06.2015 - Odpowiedź Banku PKO BP na nasz artykuł:

Zwracam uwagę, że zagrożenie zainfekowaniem komputera dotyczy wszystkich odbiorców wiadomości, a nie tylko naszych Klientów. Do zainfekowania urządzeń, z których użytkownicy łączą się z internetem, dochodzi najczęściej w wyniku otwierania załączników do fałszywych e-maili, w których hakerzy podszywają się pod instytucje finansowe lub firmy świadczące usługi telekomunikacyjne i informują o konieczności dokonania rzekomej płatności - tytułem zapłaty za fakturę za telefon, oczekującą przesyłkę kurierską lub informują o ważnych zmianach. Wykorzystując zaufanie odbiorcy wiadomości do znanej powszechnie firmy i jego zaniepokojenie wynikające z konieczności uregulowania opłaty, czy koniecznością zapoznania się z ważnymi informacjami przestępcy skłaniają klienta do otwarcia załącznika.
 
W rzeczywistości jednak otwarcie załącznika infekuje komputer, na którym załącznik jest otwierany, groźnym wirusem, umożliwiającym kradzież poufnych danych klienta (danych do logowania do serwisu www).
 
Dlatego zawsze ostrzegamy, aby użytkownicy pod żadnym pozorem nie otwierali podejrzanych wiadomości, załączników, nie odpowiadali na takie wiadomości i nie udostępniali nikomu swoich danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej – PIN-u i kodu CVV. Radzimy też, aby logując się do serwisu transakcyjnego, zawsze upewnić się, czy połączenie jest szyfrowane, sprawdzając, czy adres strony w oknie przeglądarki rozpoczyna się od https:// oraz czy na pasku u dołu lub u góry ekranu (w zależności od wykorzystywanej przeglądarki) pojawia się ikona z zamkniętą kłódką – jej obecność potwierdza, że strona jest zabezpieczona certyfikatem bezpieczeństwa, a połączenie jest szyfrowane. Po kliknięciu na kłódkę należy sprawdzić poprawność oraz aktualność certyfikatu. Należy zwrócić uwagę, że tylko połączenie poprawnego adresu oraz poprawnej treści certyfikatu gwarantuje, że strona jest legalna i można się na niej bezpiecznie logować.
 
Nawiązując do przypadku ostatnich wiadomości rozsyłanych przez oszustów zwracam uwagę, że wymieniany bank iPKO nie istnieje. Poprawne adresy Bankowości Elektronicznej PKO Banku Polskiego to np.: https://www.ipko.pl/, https://www.ipko.pl/nowe/https://www.ipkobiznes.pl/kbi, https://inteligo.pl/secure.
 
Reagujemy natychmiast na każdy sygnał o wysyłce fałszywych maili i każdy przypadek jest przez nas zgłaszany do organów ścigania oraz do międzynarodowych zespołów CERT, które zajmują się zwalczaniem przypadków naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości.
 
Bezpieczeństwo naszych klientów jest dla nas priorytetem, dlatego w wielu miejscach opublikowaliśmy informację o zasadach bezpiecznego korzystania z serwisu:



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej