Masz numer w Orange? Tej faktury nie próbuj zapłacić

CERT Orange Polska opisuje ciekawy przypadek fałszywej faktury, która dotarła do skrzynki e-mail jednego z klientów. Jak podaje operator w polu nadawcy pojawia się adres w domenie @pl.orange.com, która - jak podaje sam Orange - jest "niemal niepodrabialna" dzięki zastosowanym zabezpieczeniom. Tyle tylko, że odpowiednie mechanizmy musi również obsługiwać serwer poczty elektronicznej odbiorcy, a w tym przypadku tak nie było - e-mail z podrobionym adresem dotarł do dobiorcy.

Wiadomość udaje wręcz perfekcyjnie prawdziwą informację o wystawionej fakturze z Orange, bo z perspektywy odbiorcy została wysłana z autentycznego adresu e-mail, a sam "dokument PDF" zawiera autentyczne dane klienta. Innymi słowy nietrudno wyobrazić sobie sytuację, w której odbiorca machinalnie klika załącznik, aby otworzyć PDF i docelowo wydrukować lub zapłacić fakturę przelewem.

Tyle tylko, że ta "faktura" to nie PDF, a archiwum ZIP, którego pobranie i otwarcie prowadzi do uruchomienia skryptu VBS łączącego się z Dyskiem Google, skąd pobierany jest payload. Docelowo na komputer ofiary trafia złośliwe oprogramowanie Remcos RAT -  potrafi m.in. wykonywać zrzuty ekranów, przechwytywać klucze sesji, ciasteczka i inne poświadczenia i na bieżąco wysyłać je na serwer atakujących.

Jak łatwo sobie wyobrazić, pozyskane w ten sposób dane mogą zostać wykorzystane albo do zalogowania się na różne usługi i konta ofiary (co może prowadzić np. do posługiwania się jej tożsamością na Facebooku i realizowania oszustw "na Blika") oraz generalnie do prób kolejnych oszustw i wyłudzeń. Można zakładać, że głównym celem jest pozyskanie danych karty płatniczej lub logowania do bankowości internetowej w celu kradzieży pieniędzy.