Uwaga przedsiębiorcy: Kampania na „Prezesa Urzędu Ochrony Konkurencji i Konsumentów”

9 kwietnia, 2020

Zaobserwowano nową kampanię phishingową ukierunkowaną w polskich internautów. W rozsyłanej wiadomości e-mail załączone jest pismo od Prezesa Urzędu Ochrony Konkurencji i Konsumentów w postaci pliku z rozszerzeniem .CHM.

Pismo prezesa z rozszerzeniem CHM. Uwaga, to malware!

Przestępcy wykorzystują CVE-2019-0541 – podatność Windows, dotykającą Office’a, Office Word i Excel Viewera, IE 9-11 i Office’a 365 ProPlus. Luka umożliwia zdalne wykonanie kodu na komputerze ofiary. Ponieważ silnik MSHTML nieprawidłowo sprawdza poprawność danych wejściowych, złośliwy kod tworzy najpierw plik z rozszerzeniem *.tmp a później za pomocą procesu certutil.exe zmienia go, dekodując na złośliwą dynamiczną  bibliotekę *.dll która jest następnie uruchamiana przez systemowy rundll32.exe.

Czytamy na blogu CERT Orange Polska.

Załatajcie swoje Windowsy i – o tym pamiętajcie zawsze – NIE otwierajcie dziwnych maili, co do których nie macie pewności co do osoby nadawcy.

Złośliwa kampania na „Prezesa Urzędu Ochrony Konkurencji i Konsumentów”

Domena została zakupiona 2 kwietnia. Serwer znajduje się w centrum danych OVH, ale jego dzierżawcą jest firma hostingowa iphoster.net, która zawiesiła usługę. Natomiast domena microsoft-hohm.space, z którą komunikowało się złośliwe oprogramowanie mogła posłużyć jako „weryfikator” dostępu do Internetu – szkodliwe oprogramowanie często sprawdza, czy ma dostęp do sieci, zanim zacznie wykonywać kolejne, zaprogramowanie instrukcje, ale zwykle robi się to poprzez zwykłe odpytanie publicznej usługi DNS albo domeny znane firmy jak Microsoft.com. Bardziej prawdopodobne jest, że z tego serwera pobierano dodatkowy ładunek.

Mamy do czynienia z wielowektorowym łańcuchem infekcji, który często jest stosowany przez autorów szkodliwego oprogramowania. Z tego względu prosimy internautów, aby mieli na uwadze, że współczesna, wielowarstwowa ochrona jest bardziej skuteczna, niż starsze narzędzia bezpieczeństwa.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]