CERT ostrzega: Cyberprzestępcy udostępniają fałszywe faktury na Dysku Google
25.11.2019 15:53, aktual.: 10.12.2019 11:40
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność?
Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google.
E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google.
Jak przebiega infekcja?
Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie.
Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji.
Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć.
Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej.
Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik.
