CERT ostrzega: Cyberprzestępcy udostępniają fałszywe faktury na Dysku Google Strona główna Aktualności25.11.2019 15:53 Udostępnij: O autorze Anna Rymsza @Xyrcon Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność? Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google. E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google. Jak przebiega infekcja? Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie. Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji. Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć. Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej. Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Nowo wykryty malware potrafi przyjmować polecenia z memów 18 gru 2018 Piotr Urbaniak Internet Bezpieczeństwo 15 Dysk USB 4 TB i superszybkie, przenośne dyski SSD – Nowości WD na CES 2019 7 sty Anna Rymsza Sprzęt CES2019 37 Microsoft zapłaci za algorytmy, które wskażą łatwe cele ataków. W puli 25 tys. dolarów 14 gru 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 29 Windows 10 zarezerwuje dodatkowe 7 GB na dysku, by uniknąć problemów z aktualizacjami 8 sty Oskar Ziomek Oprogramowanie 256
Udostępnij: O autorze Anna Rymsza @Xyrcon Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność? Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google. E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google. Jak przebiega infekcja? Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie. Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji. Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć. Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej. Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji