CERT ostrzega: Cyberprzestępcy udostępniają fałszywe faktury na Dysku Google Strona główna Aktualności25.11.2019 15:53 Udostępnij: O autorze Anna Rymsza @Xyrcon Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność? Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google. E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google. Jak przebiega infekcja? Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie. Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji. Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć. Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej. Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Raport Cyberbezpieczeństwo: Trendy 2019 dostępny. Poznaj rady ekspertów dla firm 29 sty 2019 Oskar Ziomek Internet Biznes Bezpieczeństwo 5 Manipulacja schowkiem metodą oszustów, czyli kolejna podstępna aplikacja w Sklepie Play 11 lut 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 49 Lutowe poprawki dla Androida: system można było zaatakować plikiem PNG 6 lut 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 48 Złośliwe aplikacje na Androida sprytnie ukryte w Sklepie Play. Korzystały z sensorów ruchu 22 sty 2019 Mateusz Budzeń Oprogramowanie Bezpieczeństwo 13
Udostępnij: O autorze Anna Rymsza @Xyrcon Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność? Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google. E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google. Jak przebiega infekcja? Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie. Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji. Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć. Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej. Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji