Klienci Allegro zaatakowani przez internetowych przestępców. Trwa phishingowa ofensywa

O autorze

Tomek Kondrat

@eagleeyetom

Polski rodzynek wśród moderatorów XDA, zatwardziały użytkownik Androida i Linuxa. Fan post rocka i Manchesteru United.

Atak na Orange, o którym informowaliśmy dzisiaj, nie jest jedynym zagrożeniem czyhającym na internautów. Klienci serwisu aukcyjnego Allegro są narażeni na nie lada niebezpieczeństwo. Jak informuje portal CERT Polska, zajmujący się bezpieczeństwem w sieci, ponad 700 adresów IP zostało zainfekowanych złośliwym oprogramowaniem, które podszywa się pod Allegro i wyłudza pieniądze.

Witaj, Drogi Uzytkowniku! Wkrótce będziemy zmuszeni zablokowac Twoje konto w naszym serwisie z powodu nieuregulowanych oplat allegro.

E-mail o takiej treści został wysłany do dużej grupy klientów Allegro. Wiadomość może wydawać się autentyczna, gdyż opatrzona jest prawdziwymi danymi osobowymi oraz adresem. Rzekome szczegóły problemu znajdują się w pliku DOC, który w rzeczywistości jest botem Andromeda, którego command-and-control zamieszczone było w poddomenie home.pl. Po pobraniu, bot wykrada hasła z różnych aplikacji i przesyła je w ręce autora, który może je wykorzystać do przestępczych celów.

Co ciekawe, bot został napisany jako skrypt Autolt, który jest w stanie stworzyć dodatkową warstwę abstrakcji. Wszystko spakowane jest za pomocą narzędzia RazorCrypt, które jest płatnym oprogramowaniem dostępnych na forach internetowych.

Ofiarami ataków phishingowych są głównie internauci z Polski. Aby uchronić się przed atakiem, nie należy zezwalać programowi Word na uruchamianie makr, gdyż może to w bezpośredni sposób prowadzić do ujawnienia haseł. Najlepszym sposobem jest nieotwieranie plików DOC z e-maili rzekomo wysłanych przez Allegro.

CERT informuje również, że podobne ataki są przeprowadzane na klientów najpopularniejszych dostawców internetowych jak UPC, Netia, Vectra, czy wspomniany wcześniej Orange, także zalecamy zdrowy rozsądek przy otwieraniu wiadomości e-mail niewiadomego pochodzenia.