CERT ostrzega: Cyberprzestępcy udostępniają fałszywe faktury na Dysku Google

Cyberprzestępcy wymyślili nowy sposób, by przekonać nas do instalacji szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami, udostępnionymi przez Dysk Google. Czyżby szkodliwe załączniki traciły skuteczność?

CERT ostrzega: Cyberprzestępcy udostępniają fałszywe faktury na Dysku Google

25.11.2019 | aktual.: 10.12.2019 11:40

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Konstrukcja oszustwa jest klasyczna do bólu – z obcych nam adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze. Tym razem jednak faktura nie znajduje się w załączniku jak w przypadku podszywania się pod firmę DHL czy rozsyłania trojana Emotet. E-mail zawiera link do prezentacji zrobionej w PowerPoincie i udostępnionej na Dysku Google.

E-mail może wyglądać tak jak poniżej, jeśli klient poczty załaduje miniaturę z Dysku Google.

Obraz

Jak przebiega infekcja?

Sama prezentacja prawdopodobnie nie jest niebezpieczna – to tylko jeden slajd, zawierający rzekomo link do właściwej faktury, którą ma zapłacić atakowana osoba. Po kliknięciu tego odnośnika na dysk pobrane zostanie archiwum ZIP. Podczas analizy był to plik document3508.zip z adresu http://post-341478[.]info/Pobieranie.

Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript, który pobierze właściwego trojana. Zagrożenie jest już znane pod nazwą Brushaloader i zostało prawidłowo rozpoznane przez kilka programów antywirusowych, więc jeśli korzystasz z jednego z nich, na pewno zostaniesz ostrzeżony na którymś etapie infekcji.

Kilka etapów i sporo klikania ma znudzić atakowaną osobę i uśpić jej czujność. Jest to też sposób na obejście automatycznych systemów wykrywania szkodliwych załączników – załącznika nie ma w e-mailu, użytkownik musi go sobie sam ściągnąć.

Po uruchomieniu skryptu, na komputerze instalowany jest szkodliwy program typu banker. CERT podaje, że trojan będzie łączył się z domenami maiamirainy[.]at i drunt[.]at, skąd zapewne pobierze komendy i brakujące moduły. Szkodliwy program może zbierać informacje o wciskanych klawiszach i zapisywać zawartości schowka. Jego celem jest wykradanie pieniędzy podczas zlecania operacji w systemach bankowości elektronicznej.

Polski CERT zachęca wszystkich do zgłaszania incydentów, w tym prób wyłudzeń i otrzymywania fałszywych dokumentów e-mailem. Jeśli masz problemy z rozpoznawaniem fałszywych e-maili, polecam prosty poradnik.

Programy

Zobacz więcej
Komentarze (16)